J'ai plongé dans le fichier des 500 000 patients qui a fuité sur Internet.
S'il contient très peu de données médicales, il recèle des dizaines de milliers de mots de passe, n° de tél, adresses postales et e-mail... « en clair ». #Thread /1
Sur @nextinpact
nextinpact.com/article/46256/…
S'il contient très peu de données médicales, il recèle des dizaines de milliers de mots de passe, n° de tél, adresses postales et e-mail... « en clair ». #Thread /1
Sur @nextinpact
nextinpact.com/article/46256/…
Nous avons comptabilisé 489 838 numéros de sécurité sociale & 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur ». /2
La base de données dénombre 270 569 n° de tél fixe et 159 591 portables de patients.
Plus 14 928 n° de tél fixes et 1 971 portables de 16 590 médecins fiché.
Plus 55 738 adresses email uniques de patients et 337 de médecins.
Plus leurs adresses postales (j'ai pas compté) /3
Plus 14 928 n° de tél fixes et 1 971 portables de 16 590 médecins fiché.
Plus 55 738 adresses email uniques de patients et 337 de médecins.
Plus leurs adresses postales (j'ai pas compté) /3
Le fichier contient également 14 997 mots de passe, dont 11 443 mots de passe uniques. On y trouve quelques récurrences étonnantes, dont tt plein de déclinaisons de pupuce, biscotte, chipie, chouchou, jetaime, mamour, princesse, louloute, doudou, gribouille, & 26 de loulou /4
Signe que la base de données repose sur un vieux logiciel, on y trouve une catégorie « Consultation Minitel ».
Un test associé à une adresse @mega-bus.com utilisée par un employé de Dedalus a par ailleurs été horodaté le 3 mai 2018. /5
Un test associé à une adresse @mega-bus.com utilisée par un employé de Dedalus a par ailleurs été horodaté le 3 mai 2018. /5
Notre analyse montre une moyenne de 200 occurrences mensuelles pour les années 2015 et 2016, de 4 à 7 000 de janvier 2017 à mai 2018, puis de 17 à 28 000 en 2018 et 2019, laissant supposer que le déploiement du logiciel aurait bel et bien en lieu en mai 2018 : /6 
Or, le RGPD est précisément entré en application en mai 2018. En faisant le choix de recourir à un logiciel le sécurisant pas l'accès aux données & mdp, les responsables des traitements de données, tout comme le fournisseur du logiciel, ne respectaient alors pas le RGPD. /7
En attendant les résultats des enquêtes de Dedalus (l'éditeur du soft), de la @CNIL et du Parquet, je profite de l'occasion pour partager ce qui m'a (notamment) permis d'enquêter, *en lignes de commande* :
grep -i -E "(azerty|mamour)" fullfrdb500k.txt
pour les occurences /8
grep -i -E "(azerty|mamour)" fullfrdb500k.txt
pour les occurences /8
Et, pour quantifier le bouzin des données :
cat fullfrdb500k.txt | cut -d ';' -f154 | sed 's/ //g' | sed 's/\.//g' | sed 's/\-//g' | sed '/^$/d'| sort | uniq | wc -l
Pour les non-abonnés, l'article sera #libere dans 1 mois (mais vous pouvez aussi vous abonner /-) /9
cat fullfrdb500k.txt | cut -d ';' -f154 | sed 's/ //g' | sed 's/\.//g' | sed 's/\-//g' | sed '/^$/d'| sort | uniq | wc -l
Pour les non-abonnés, l'article sera #libere dans 1 mois (mais vous pouvez aussi vous abonner /-) /9
L’an passé, nous avions déjà révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié, pour « fautes graves », un lanceur d'alerte qui avait précisément prévenu les autorités de ses problèmes de sécurité. /10
nextinpact.com/article/43405/…
nextinpact.com/article/43405/…
Dedalus a identifié et informé les 28 laboratoires concernés répartis dans 6 dpts (22, 27, 35, 41, 45, 56)
Ils ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises /11
cnil.fr/fr/violation-d…
https://twitter.com/Dedalus_France/status/1365334488864202759
Ils ont l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises /11
cnil.fr/fr/violation-d…
• • •
Missing some Tweet in this thread? You can try to
force a refresh
