Η ερευνητική ομάδα του CyberNews ανακάλυψε ένα μη ασφαλή, δημόσια προσβάσιμο Kibana dashboard μιας βάσης δεδομένων ElasticSearch που περιέχει εμπιστευτικά data, τα οποία ανήκουν στην Apodis Pharma, μια εταιρεία software με έδρα τη Γαλλία. Η Αpodis Pharma προσφέρει μια πλατφόρμα διαχείρισης ψηφιακής εφοδιαστικής αλυσίδας και άλλες λύσεις software που έχουν δημιουργηθεί για φαρμακεία, ιδρύματα υγειονομικής περίθαλψης, φαρμακευτικά εργαστήρια και εταιρείες ασφάλισης υγείας.
Η βάση δεδομένων που ανακαλύφθηκε από το CyberNews περιέχει πάνω από 1,7 TB εμπιστευτικών data που σχετίζονται με επιχειρήσεις, συμπεριλαμβανομένων data πωλήσεων φαρμακευτικών προϊόντων, πλήρων ονομάτων συνεργατών και υπαλλήλων της Apodis Pharma, στατιστικών στοιχείων αποθεμάτων αποθηκών πελατών, τοποθεσιών και διευθύνσεων αποστολών φαρμάκων.
Στις 17 Νοεμβρίου, η Αpodis Pharma έκλεισε τη βάση δεδομένων κι επομένως αυτή δεν είναι πλέον προσβάσιμη στο κοινό.
Η μη ασφαλής βάση δεδομένων ElasticSearch της Apodis Pharma περιέχει τα ακόλουθα:
- Ένα αρχείο εμπιστευτικών data αποστολής φαρμακευτικών προϊόντων, την κατάσταση αποθήκευσης αποστολών, τους ακριβείς χρόνους και τις τοποθεσίες παραλαβής των αποστολών από πωλητές ή διανομείς, καθώς και την ποσότητα των φαρμακευτικών προϊόντων στις αποστολές.
- Ένα αρχείο περισσότερων από 25.000 οργανισμών συνεργατών και πελατών, όπως φαρμακευτικά εργαστήρια και φαρμακεία, που εξυπηρετούνται από την πλατφόρμα διανομής της Apodis Pharma.
- Δύο αρχεία προϊόντων από αποθήκες πελατών της Apodis Pharma, με 32.960.114 καταχωρήσεις η καθεμία. Τα αρχεία περιλαμβάνουν data προϊόντων όπως ποσότητες προϊόντων και IDs, καθώς και data αποθηκών.
- Ένα αρχείο εμπιστευτικών data πωλήσεων προϊόντων που περιέχουν 17.556.928 τριμηνιαίες καταχωρήσεις με πληροφορίες όπως ημερομηνίες πώλησης, τοποθεσίες, τιμές και ποσότητες που πωλούνται μεταξύ πελατών της Αpodis Pharma όπως φαρμακευτικά εργαστήρια και φαρμακεία.
- Ένα αρχείο δεδομένων χρηστών που περιέχει 4.436 καταχωρήσεις, συμπεριλαμβανομένων των πλήρων ονομάτων των ατόμων που φαίνεται να είναι πελάτες, συνεργάτες και υπάλληλοι της Αpodis Pharma.
- Οπτικοποιήσεις και αναλυτικά στοιχεία δεδομένων καταναλωτών και πελατών, συμπεριλαμβανομένων των στατιστικών στοιχείων σχετικά με το φύλο των καταναλωτών, και πιθανώς εμπιστευτικά γραφήματα πωλήσεων πελατών και αποθεμάτων.
Η αποθήκευση εμπιστευτικών data πελατών και ασθενών σε έναν προσβάσιμο από το κοινό server χωρίς καμία διαδικασία ελέγχου ταυτότητας είναι εξαιρετικά επικίνδυνη, ειδικά για οργανισμούς που σχετίζονται με φαρμακευτικά προϊόντα, πόσο μάλλον τώρα που η πανδημία του COVID-19 πλήττει χώρες σε παγκόσμιο επίπεδο.
Αποκτώντας μη εξουσιοδοτημένη πρόσβαση σε αυτήν τη βάση δεδομένων, οι χάκερς θα μπορούσαν να προκαλέσουν μεγάλη ζημιά όχι μόνο στους πελάτες της Apodis Pharma, αλλά και σε αμέτρητους ανυποψίαστους ασθενείς σε όλη τη Γαλλία. Θα μπορούσαν επίσης να διαρρεύσουν τις εμπιστευτικές πληροφορίες για να βλάψουν σοβαρά την εμπιστοσύνη στην εταιρεία ή να εκβιάσουν την Apodis Pharma και τους πελάτες της.
