Practice by Numbers, le développeur d’un logiciel de gestion des patients utilisé dans des milliers de cabinets de dentistes, a corrigé une faille de sécurité qui exposait les dossiers de santé privés des patients sur un portail fourni avec le logiciel, a appris TechCrunch.
Un patient, Joseph R. Cox, a signalé le bug à TechCrunch après avoir rencontré le problème en consultant ses propres dossiers dentaires sur le portail proposé par son cabinet de dentiste.
Ce portail patient fait partie d’un logiciel de gestion de cabinet dentaire créé par Practice by Numbers, qui affirme que ses produits sont utilisés dans plus de 5 000 cabinets dentaires à travers les États-Unis.
Cox a déclaré que le bug permettait à tout utilisateur du portail, qui héberge les documents médicaux et les dossiers de santé des patients, d’accéder aux documents appartenant à d’autres patients. Il a déclaré qu’il avait pu accéder aux documents d’autres patients à partir de son compte, y compris leurs informations personnelles, leurs antécédents médicaux, leurs pièces d’identité avec photo et d’autres fichiers. Le bug signifiait également que les dossiers de Cox étaient tout aussi exposés aux autres patients.
Cox a déclaré qu’il avait tenté d’alerter l’entreprise du problème par courrier électronique, mais qu’il n’avait pas reçu de réponse. Il a ensuite informé TechCrunch en dernier recours pour demander à l’entreprise de corriger le bug.
Le bug était remarquablement facile à exploiter par toute personne disposant d’une connexion au portail patient de Practice by Numbers. Cox a déclaré que changer le numéro du document dans l’adresse Web lors du chargement de l’un de ses documents sur le portail permettait aux utilisateurs d’accéder aux dossiers d’autres patients.
Pire encore, Cox a déclaré que les numéros de documents dans l’adresse Web semblent être progressifs de manière séquentielle, de sorte qu’il pourrait être possible de deviner facilement les numéros de documents des dossiers médicaux d’autres personnes.
Cox a déclaré à TechCrunch qu’il avait du mal à alerter Practice by Numbers du problème, car la société n’offrait aucun moyen perceptible de signaler les problèmes de sécurité. L’adresse e-mail de l’entreprise sur son site Web était cassée et les e-mails étaient renvoyés comme non distribuables. Au lieu de cela, Cox a envoyé un message à l’un des fondateurs de l’entreprise sur LinkedIn, mais n’a reçu aucune réponse après l’envoi d’un e-mail ultérieur.
Le problème, désormais résolu, met en évidence une tendance récente selon laquelle les consommateurs réguliers découvrent des failles de sécurité dans les produits ou les sites Web des entreprises, mais n’ont aucun moyen clair de signaler le problème aux développeurs.
Plus tôt en avril, le détaillant de mode Express a corrigé un bug sur son site Web qui permettait à quiconque d’accéder aux détails de la commande et aux informations personnelles d’autres clients, après qu’un utilisateur ait identifié le bug, mais n’a trouvé aucun moyen d’alerter l’entreprise. Un incident similaire a impliqué Home Depot en décembre : un chercheur en sécurité a tenté d’alerter en privé l’entreprise d’une faille de sécurité qui exposait l’accès à ses systèmes internes pendant près d’un an, mais leurs rapports ont été ignorés jusqu’à ce que TechCrunch contacte l’entreprise.
Étant donné que la faille de sécurité mettait activement en danger les données des patients, TechCrunch a alerté Practice by Numbers du problème le 13 avril. La société a fermé son portail patient pour corriger le bug et l’a remis en ligne le 17 avril.
Chris Lau, co-fondateur et directeur de la technologie de Practice by Numbers, a déclaré à TechCrunch que la société avait corrigé la vulnérabilité et qu’elle informait moins de 10 patients que leurs informations avaient été exposées à cause du bug, citant les journaux de son serveur.
La société a déclaré qu’elle travaillait avec le cabinet dentaire concerné pour informer les patients concernés. Lau a déclaré que la société n’avait identifié aucune preuve d’activité antérieure liée au bug, ce qui suggère que Cox était probablement le premier à le trouver.
Cox a confirmé que le bug semble avoir été corrigé.
Interrogé par TechCrunch, ni Lau ni le co-fondateur et président de Practice by Number, Rohit Garg, n’ont dit si le portail patient de l’entreprise avait fait l’objet d’un audit de sécurité avant son lancement. Les entreprises subissent généralement des audits de sécurité pour garantir que leurs produits répondent aux normes de cybersécurité et sont exempts de failles de sécurité courantes avant que les clients ne commencent à les utiliser.
Bien qu’aucun logiciel ne soit jamais totalement exempt de bogues, les entreprises qui traitent des informations sensibles, telles que les données de santé, sollicitent généralement l’examen de leur code par des tiers afin d’éliminer toute faille de sécurité majeure.
Lorsqu’on lui a demandé si Practice by Numbers prévoyait de mettre à jour son site Web pour permettre aux chercheurs en sécurité d’informer l’entreprise des failles de sécurité, par exemple via un programme de divulgation de vulnérabilités, Garg a déclaré que la société prévoyait de mettre à jour son site Web pour permettre aux gens de signaler les problèmes de sécurité. L’entreprise n’a pas proposé de calendrier.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
