Pfizer speichert Patientendaten ungeschützt in der Cloud

Der Pharmakonzern Pfizer hat offenbar versehentlich Daten von Patienten in einem ungesicherten Cloudspeicher abgelegt. Entdeckt wurden die vertraulichen Informationen von Forschern des Sicherheitsanbieters vpnMentor. Frei zugänglich waren demnach Hunderte Konversationen zwischen Pfizers automatischer Kundensupport-Software und Nutzern, die verschreibungspflichtige Medikamente des Unternehmens zur Behandlung von Krebs, Epilepsie, Angststörungen und Erektionsstörungen einnahmen.

Abgelegt waren die Daten in der Google Cloud. Neben vertraulichen medizinischen Daten fanden die Forscher auch Namen, Anschriften und E-Mail-Adressen von Patienten.

„Hacker könnten die Opfer leicht austricksen, indem sie als Kundenbetreuungsabteilung von Pfizer auftreten und in den Protokollen auf die stattfindenden Gespräche verweisen“, erklärten die Forscher gegenüber Siliconangle. „Zum Beispiel erkundigten sich viele Leute nach neuen Rezepten und anderen Fragen. Solche Umstände bieten Cyberkriminellen eine großartige Gelegenheit, sich als Pfizer auszugeben und Kartendetails anzufordern.“

Auch sei es möglich, die Daten für Angriffe mit Malware oder Ransomware einzusetzen. Zusammen mit weiteren Daten der Betroffenen spekulierten die Forscher zudem über Straftaten wie Identitätsdiebstahl.

Dem Bericht zufolge benötigte Pfizer mehrere Wochen, um die Daten gegen unbefugte Zugriffe zu sichern. Bereits im Juli hätten die Forscher das Unternehmen zweimal kontaktiert. Ein weiterer Versuch am 22. September habe schließlich dazu geführt, dass Pfizer den Zugang zu den Daten am 23. September gekappt habe. Eine offizielle Stellungnahme oder gar Bestätigung des Sicherheitsvorfalls stehe aber noch aus.

„Was uns der jüngste Sicherheitsbruch bei Pfizer zeigt, ist, dass es selbst für die größten Unternehmen der Welt äußerst schwierig ist, ihre Daten stündlich, täglich und wöchentlich zu sichern. Es ist unerheblich, ob ein interner oder externer Fehler zu dieser Datenverletzung geführt hat, da der digitale Fußabdruck für Unternehmen so schnell wächst, dass Fehler auftreten und Daten offengelegt werden“, kommentierte Sam Curry, Chief Security Officer bei Cybereason. „In diesem Fall kann Pfizer die Opferkarte nicht ausspielen, da es sicherlich keine Kunden gibt, die daran interessiert sind, Ausreden zu hören. Was sie wollen, ist Transparenz und die Garantie, dass das Unternehmen auch weiterhin dafür sorgen wird, dass der Datenschutz für sie oberste Priorität hat.“

Tim Mackay, Principal Security Evangelist bei Synopsis, schließt einen Zusammenhang mit der COVID-19-Pandemie nicht aus. „Da Unternehmen aufgrund der Pandemie Schwierigkeiten haben, ihre Kosten mit geringeren Einnahmen unter Kontrolle zu halten, ist es normal, dass sie sich nach Optionen wie Cloud Hosted Storage umsehen. Die ordnungsgemäße Sicherung dieses Speichers sollte eine Priorität sein, aber es werden immer wieder Vorfälle gemeldet, in denen Cloud-Storage-Buckets und -Datenbanken nicht ordnungsgemäß gesichert wurden. Jeder Cloud-Anbieter bietet APIs an, die zur Automatisierung der Konfiguration seiner Cloud-Storage-Angebote verwendet werden können. Darüber hinaus ist eine Audit-Protokollierung verfügbar, um unerwartete Nutzungsmuster wie erfolgreiche Zugriffsversuche durch Dritte zu überwachen.“

Laut Siliconangle ist es nicht der erste Sicherheitsvorfall bei Pfizer. Drei ähnliche Vorfälle sollen sich bereits 2007 ereignet haben. 2019 soll ein Mitarbeiter zudem eine Sicherungsfestplatte in einer Box vergessen haben, die schließlich entsorgt wurde.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Aukey-Webcam PC-LM1E mit 1080P ausprobiert

Mit der PC-LM1E bietet Aukey eine USB-Webcam mit einer Auflösung von maximal 1080P. Die Übertragungsrate…

13 Stunden ago

GitHub schließt von Google entdeckte Zero-Day-Lücke

Die Microsoft-Tochter verpasst die Frist von 90 Tagen sowie die von Google gewährte Verlängerung von…

13 Stunden ago

Apples Head of Global Security wegen Bestechung angeklagt

Er soll Polizeibeamten eine Spende über 200 iPads als Gegenleistung für eine Waffenlizenz geboten haben.…

15 Stunden ago

VMware warnt vor kritischer Zero-Day-Lücke in Workspace One

Sie ermöglicht eine Code-Ausführung außerhalb der virtuellen Umgebung. Ein Angreifer benötigt allerdings gültige Anmeldedaten. VMware…

17 Stunden ago

Malware verwandelt gehackte WordPress-Websites in betrügerische Online-Shops

Cyberkriminelle kapern die Websites per Brute Force. Anschließend schleusen sie Schadcode ein, der schließlich statt…

19 Stunden ago

Kontoübername mit einem Klick: TikTok schließt schwerwiegende Sicherheitslücke

Ein unabhängiger Sicherheitsforscher kombiniert zwei Fehler zu einem Exploit. Betroffen ist die TikTok-Website. Der Forscher…

20 Stunden ago