Millioner af mennesker i Indien kan have lidt et brud på deres medicinske data
Ifølge en nyhedsrapport offentliggjort af TechCrunch efterlod Dr. Lal PathLabs, en Delhi-baseret sundhedsudbyder og medicinsk testlaboratorium, et hul i sin database i flere måneder. En offentligt tilgængelig database var ope i flere måneder i træk uden nogen form for beskyttelse.
Laboratoriet er et af de største af sin art i hele Indien, hvor anslået 70 tusind patienter serveres dagligt. Selvfølgelig betyder det, at det også er et af de største testcentre for Covid-19 i landet.
Det viste sig, at Dr. Lal PathLabs opbevarede et stort antal massive regneark fulde af personlige patientdata på en Amazon Web Services-opbevaringsskovl, men der var ingen beskyttelse på plads og ingen adgangskode, hvilket effektivt betyder, at nogen kunne få adgang til alle optegnelser.
Den utætte database blev opdaget af sikkerhedsforsker Sami Toivonen, der rapporterede problemet til laboratoriet allerede i september 2020. Ifølge Toivonens interview med TechCrunch blev adgangen til det utætte lager afskåret, men forskeren modtog intet svar fra laboratoriet.
Ifølge Toivonen indeholdt dataene i de eksponerede regneark millioner af individuelle patientjournaler, inklusive daglige testresultater. Oplysningerne i databaserne bestod af patientnavne, fødselsdatoer, hjemmeadresser, mobilnumre og forskellige udførte tests, hvilket er en tangentiel kilde til information for personens helbredstilstand. Nogle af de yderligere detaljer om visse patienter angav også, om de er Covid-19 positive.
Forskere overrasket over Lax Database Security
Toivonen sagde, at han var "sprængt væk" af opdagelsen, og det faktum, at en organisation, der var så stor og beskæftiger sig med personlige oplysninger, der er så følsomme, havde efterladt en enorm mængde patientoplysninger næsten helt ubeskyttet.
Da TechCrunch kontaktede laboratoriet, modtog de et formelt svar om, at en undersøgelse er i gang, men laboratorierepræsentanten besvarede aldrig andre spørgsmål og nævnte ikke, om den indiske sundhedsudbyder har til hensigt at videregive oplysninger om databasens eksponering for sine patienter eller ej.