AstraZeneca Lalai Unggah Kredensial Server Data Pasien ke GitHub Selama Setahun

AstraZeneca. Foto: manchestereveningnews.co.uk

Cyberthreat.id – Perusahaan keamanan siber berlokasi di Dubai, SpiderSilk, pada awal bulan ini menemukan basis data sensitif pasien AstraZeneca terbuka di internet.

AstraZeneca adalah perusahaan farmasi terkemuka asal Inggris, termasuk produsen vaksin Covid-19.

Menurut SpiderSilk, pengembang AstraZeneca meninggalkan kredensial akses untuk server internal perusahaan di situsweb berbagi kode GitHub pada 2021.

“Kredensial tersebut memungkinkan akses ke lingkungan cloud uji Salesforce yang sering digunakan oleh perusahaan untuk mengelola pelanggan, tapi lingkungan pengujian ini ternyata berisi beberapa data pasien,” kata Chief Security Officer SpiderSilk, Mossab Hussein, kepada TechCrunch, diakses Senin (21 November 2022).

Beberapa data tersebut juga terkait dengan aplikasi AZ&ME yang menawarkan diskon untuk pasien yang membutuhkan obat.

Setelah perusahaan diberitahui tentang detail kredensial yang terbuka, AstraZeneca menutup repositori GitHub sehingga tak bisa diakses lagi dalam beberapa jam kemudian.

Dalam sebuah pernyataan, juru bicara AstraZeneca Patrick Barth mengatakan, “Perlindungan data pribadi sangat penting bagi kami dan kami berusaha untuk standar tertinggi dan kepatuhan terhadap semua aturan dan hukum yang berlaku,” katanya.

“Karena kesalahan pengguna, beberapa catatan data sementara tersedia di platform pengembang. Kami menghentikan akses ke data ini segera setelah kami [sic] diberi tahu. Kami sedang menyelidiki akar penyebab serta menilai kewajiban peraturan kami.”

Barth menolak menjawab pertanyaan mengapa data pasien disimpan di lingkungan pengujian. Ia juga tak menjawab terkait apakah AstraZeneca memiliki sarana teknis, seperti log, untuk menentukan apakah ada yang mengakses data dan data apa, jika ada, yang dieksfiltrasi.

Kredensial, seperti nama pengguna dan kata sandi, yang diekspos atau secara tidak sengaja dipublikasikan ke situs seperti GitHub adalah penemuan yang semakin umum bagi peneliti keamanan seperti Hussein dari SpiderSilk.

Dalam beberapa tahun terakhir, startup tersebut telah menemukan data terbuka milik Samsung , startup pengenalan wajah kontroversial Clearview AI ; dan layanan berlangganan film MoviePass yang di -reboot sejak itu . Pada Agustus lalu, Hussein menemukan kredensial milik karyawan Microsoft yang telah diunggah secara tidak sengaja ke GitHub, milik Microsoft.

“Ini bukan pertama kalinya kami menemukan kredensial yang bocor di Github oleh para pengembang karena kesalahan manusia…,” kata Hussein.

“Risiko kebocoran yang tidak disengaja ini terjadi secara acak, dan eksploitasi (terhadap data, red) seringkali berlangsung (yang, membuat pekerjaan pelaku ancaman lebih mudah).”[]