Les données sur 4,7 millions de membres ont été capturées sur près de quatre ans à cause d’une erreur de configuration qui a envoyé des données Google Analytics à Google ADS.
Les CISO peuvent apprendre deux leçons de l’admission d’un fournisseur d’assurance maladie aux États-Unis ce mois-ci selon laquelle Google Analytics à tort a conduit à la divulgation d’informations sur la santé personnelle de 4,7 millions d’abonnés, explique un expert.
Ces leçons, selon Brandon Evans, instructrice principale du SANS Institute et consultante indépendante de la sécurité, basée au Tennessee, se résume à ceci:
- Lisez la documentation de tout service tiers pour lequel vous vous inscrivez, pour comprendre les contrôles de sécurité et de confidentialité;
- Sachez quelles données sont collectées auprès de votre organisation et ce que vous ne voulez pas partager.
« Il est important de comprendre que ces plateformes géantes vous permettent de partager facilement vos données sur leurs différents services », a-t-il déclaré. « Alors, recherchez les paramètres pour partager des données que vous n’avez peut-être pas l’intention de partager. »
Evans commentait l’admission de Blue Shield of California selon laquelle, parce que son service Google Analytics a été configuré pour permettre à certaines données d’être partagées avec Google Ads, entre avril 2021 et janvier de cette année, un large éventail de ses données peut avoir été utilisé pour les annonces ciblées. Selon le site Web du ministère américain de la Santé et des Services sociaux, les données de 4,7 millions de membres ont été exposées.
Ces informations comprenaient le nom du plan d’assurance des membres, le type et le numéro de groupe; ville; code postal; genre; taille de la famille; Blue Shield a attribué des identifiants pour les comptes en ligne des membres; Réclamation médicale Date de service et fournisseur de services, nom du patient, responsabilité financière du patient; et les critères de recherche «Trouver un médecin» et les résultats (tels que l’emplacement, le nom et le type du plan, le nom et le type du fournisseur).
Il n’y a pas eu de divulgation d’autres types d’informations personnelles, telles que les numéros de sécurité sociale, les numéros de permis de conduire ou les informations bancaires ou de carte de crédit, a souligné Blue Shield of California.
Cela a perplexe Evans. Habituellement, a-t-il dit, Google Analytics mesure l’utilisation par une personne d’un site Web. Pourquoi, se demanda-t-il, aurait-il collecté des informations personnelles et de santé.
Erreurs de cloud communes
Des configurations erronées par les administrateurs, y compris les paramètres logiciels par défaut, permettant des fonctionnalités inutiles, donnant aux utilisateurs un accès trop permissif et des configurations d’API non sécurisées – donnent des poils gris Cisos.
« Ce genre de chose se produit tout le temps et est un risque inhérent à l’utilisation de services fournis par les entreprises qui travaillent dans de nombreux domaines », a déclaré Evans dans une interview, notant qu’il n’est pas surpris par l’incident Blue Shield of California. « Google fait tout – ils fonctionnent dans la publicité, l’analyse, la recherche et les services cloud. Techniquement parlant, si vous partagez vos données avec une organisation comme Google, il est impossible de garantir que les données ne seront pas utilisées dans un autre contexte. »
Il a noté qu’ils pourraient ne pas avoir l’intention d’utiliser vos données, mais rien ne les empêche de prendre les données que vous avez partagées dans un contexte et de l’utiliser dans un autre.
« Même si Google est une organisation réputée qui offre à ses clients des contrôles de sécurité étendus, ils ont une incitation parfaitement raisonnable pour faciliter la part des clients de partager des données sur Google », a-t-il déclaré. En fait, Google vante sur sa page Web les avantages de la connexion des annonces Google à Google Analytics.
Sur une page distincte, Google détaille également les contrôles de confidentialité dans l’analyse, notamment en expliquant comment désactiver les fonctionnalités publicitaires.
« Il est très important (CISOS) examiner les paramètres de n’importe quelle plate-forme que vous utilisez », a déclaré Evans. « Bien que Google soit incité à vous pousser dans le sens d’utiliser ces intégrations (données), ils sont également, je suis certain, très transparent sur ce que font ces paramètres. » Ainsi, a-t-il dit, sachez comment fonctionnent les contrôles de sécurité et de confidentialité d’un service.
« Quelles que prennent les précautions qu’un administrateur prend », a-t-il souligné, « s’il y a une préoccupation de l’organisation que Google Ads utiliserait ces informations, ils devraient vraiment se demander s’ils devraient ou non utiliser Google de partager les informations sur sa plateforme. Ces données sont utilisées. »
La plus grande question pour un CISO à considérer, a-t-il ajouté, est de savoir si le partage de données avec un tiers fait partie de son modèle de menace. Il existe un risque inhérent à l’envoi de données à un fournisseur de cloud, a-t-il dit, mais ce risque peut être compensé par les avantages de l’utilisation d’un fournisseur de cloud réputé.
« Du point de vue d’un CISO, voici la clé », a déclaré Esnar Seker, CISO à Socradar: « Lors de la configuration de Google Analytics, vous devez vous assurer qu’aucun paramètre de requête, entrée de formulaire ou les éléments de page dynamique ne peut pas transmettre inadvert les données personnelles. Par exemple, a-t-il dit, si votre application génère des URL comme, Google Analytics collectera ces paramètres à moins que les données ne soient explicitement filtrées.
Laisser Google Analytics capturer les valeurs du champ de formulaire doit également être évité, a-t-il déclaré. Cela inclut les noms, les e-mails, les dates de naissance ou tout ce qui est classé comme des informations personnellement identifiables ou des informations de santé personnelles. De nombreux sites les transmettent involontairement par le biais de variables JavaScript que les scripts d’analyse peuvent ramasser, a-t-il noté.
Atténuation des risques
Dans la console d’administration Google Analytics, les administrateurs devraient:
- Désactiver les fonctionnalités de mesure améliorées comme le suivi de la recherche de site ou les interactions de formulaire à moins qu’elles ne soient certain qu’elles n’exposent pas de données sensibles.
- Utilisez des filtres pour éliminer les paramètres d’URL qui peuvent contenir des informations d’identification.
- Limitez l’accès aux configurations Google Analytics à uniquement ceux qui ont une formation appropriée sur la confidentialité des données et assurez-vous qu’il existe une signature InfoSec sur chaque implémentation ou changement.
Ne comptez jamais sur Google Analytics pour sécuriser ou anonymiser vos données, a ajouté Seker. Ce n’est pas un outil de sécurité. Les administrateurs doivent s’assurer que les données envoyées sont sûres, avant qu’elles n’atteignent jamais les serveurs de Google.
« Enfin, ne présumez pas que ce n’est pas parce que c’est » analytique « , c’est à faible risque. Des violations comme celle-ci prouvent que même le suivi passif peut devenir un échec majeur de conformité. »
Interrogé sur les commentaires, a déclaré un porte-parole de Google, les entreprises, et non Google, gérer les données qu’ils collectent et doivent informer les utilisateurs de sa collecte et de son utilisation. Par défaut, toutes les données envoyées à Google Analytics pour la mesure n’identifient pas les individus, et nous avons des politiques strictes contre la collecte d’informations de santé privées (PHI) ou de publicité sur la base d’informations sensibles. »
