Millionen von Menschen in Indien haben möglicherweise einen Verstoß gegen ihre medizinischen Daten erlitten
Laut einem von TechCrunch veröffentlichten Nachrichtenbericht hat Dr. Lal PathLabs, ein in Delhi ansässiger Gesundheitsdienstleister und medizinisches Testlabor, monatelang eine Lücke in seiner Datenbank hinterlassen. Eine öffentlich zugängliche Datenbank war monatelang ohne jeglichen Schutz verfügbar.
Das Labor ist eines der größten seiner Art in ganz Indien. Schätzungsweise 70.000 Patienten werden täglich versorgt. Dies bedeutet natürlich, dass es auch eines der größten Testzentren für Covid-19 im Land ist.
Es stellte sich heraus, dass Dr. Lal PathLabs eine große Anzahl massiver Tabellenkalkulationen mit persönlichen Patientendaten in einem Amazon Web Services-Speicherbereich aufbewahrte, aber es gab keinen Schutz und kein Passwort, was effektiv bedeutet, dass jeder auf alle Aufzeichnungen zugreifen konnte.
Die undichte Datenbank wurde von dem Sicherheitsforscher Sami Toivonen entdeckt, der das Problem bereits im September 2020 dem Labor gemeldet hatte. Laut Toivonens Interview mit TechCrunch wurde der Zugriff auf den undichten Speicher gesperrt, aber der Forscher erhielt keine Antwort vom Labor.
Laut Toivonen enthielten die in den exponierten Tabellen enthaltenen Daten Millionen einzelner Patientenakten, einschließlich der täglichen Testergebnisse. Die in den Datenbanken enthaltenen Informationen bestanden aus Patientennamen, Geburtsdaten, Privatadressen, Handynummern und verschiedenen durchgeführten Tests. Dies ist eine tangentiale Informationsquelle für den Gesundheitszustand der Person. Einige der zusätzlichen Details zu bestimmten Patienten gaben auch an, ob sie Covid-19-positiv sind oder nicht.
Forscher überrascht von Lax Database Security
Toivonen sagte, er sei "überwältigt" von der Entdeckung und der Tatsache, dass eine so große Organisation, die mit so sensiblen persönlichen Informationen umgeht, eine große Menge personenbezogener Patientendaten praktisch völlig ungeschützt gelassen habe.
Als TechCrunch das Labor kontaktierte, erhielten sie eine formelle Antwort, dass eine Untersuchung im Gange ist, aber der Vertreter des Labors beantwortete keine anderen Fragen und erwähnte nicht, ob der indische Gesundheitsdienstleister beabsichtigt, Informationen über die Datenbankexposition gegenüber seinen Patienten offenzulegen.