Εκατομμύρια άνθρωποι στην Ινδία ενδέχεται να έχουν υποστεί παραβίαση των ιατρικών τους δεδομένων

Σύμφωνα με μια ειδησεογραφική έκθεση που δημοσίευσε η TechCrunch, ο Dr. Lal PathLabs, ένας πάροχος υγειονομικής περίθαλψης και ιατρικές δοκιμές με έδρα το Δελχί, άφησε μια κενή τρύπα στη βάση δεδομένων της για μήνες. Μια δημόσια προσβάσιμη βάση δεδομένων ήταν διαθέσιμη για μήνες στο τέλος, χωρίς κανένα είδος προστασίας.

Το εργαστήριο είναι ένα από τα μεγαλύτερα του είδους του σε όλη την Ινδία, με περίπου 70 χιλιάδες ασθενείς να εξυπηρετούνται καθημερινά. Φυσικά, αυτό σημαίνει ότι είναι επίσης ένα από τα μεγαλύτερα κέντρα δοκιμών για το Covid-19 στη χώρα.

Αποδείχθηκε ότι ο Dr. Lal PathLabs κρατούσε μεγάλο αριθμό τεράστιων υπολογιστικών φύλλων γεμάτων προσωπικά δεδομένα ασθενών σε έναν κάδο αποθήκευσης των Υπηρεσιών Ιστού του Amazon, αλλά δεν υπήρχε προστασία και κανένας κωδικός πρόσβασης, πράγμα που σημαίνει ότι οποιοσδήποτε μπορούσε να έχει πρόσβαση σε όλα τα αρχεία.

Η βάση δεδομένων για διαρροές ανακαλύφθηκε από τον ερευνητή ασφαλείας Sami Toivonen, ο οποίος ανέφερε το ζήτημα στο εργαστήριο ήδη από τον Σεπτέμβριο του 2020. Σύμφωνα με τη συνέντευξη του Toivonen με την TechCrunch, η πρόσβαση στον χώρο αποθήκευσης διαρροών είχε διακοπεί, αλλά ο ερευνητής δεν έλαβε απάντηση από το εργαστήριο.

Σύμφωνα με τον Toivonen, τα δεδομένα που περιείχαν τα εκτεθειμένα υπολογιστικά φύλλα περιείχαν εκατομμύρια μεμονωμένα αρχεία ασθενών, συμπεριλαμβανομένων των ημερήσιων αποτελεσμάτων των εξετάσεων. Οι πληροφορίες που περιέχονται στις βάσεις δεδομένων αποτελούνται από ονόματα ασθενών, ημερομηνίες γέννησης, διευθύνσεις σπιτιού, αριθμούς κινητών τηλεφώνων και διάφορες δοκιμές που πραγματοποιήθηκαν, οι οποίες αποτελούν μια εφαπτομενική πηγή πληροφοριών για την κατάσταση της υγείας του ατόμου. Ορισμένες από τις πρόσθετες λεπτομέρειες σε ορισμένους ασθενείς δήλωσαν επίσης εάν είναι θετικοί ή όχι στο Covid-19.

Οι ερευνητές έκπληκτοι από την ασφάλεια βάσεων δεδομένων Lax

Ο Toivonen είπε ότι «εκπλήσσεται» από την ανακάλυψη και το γεγονός ότι ένας οργανισμός τόσο μεγάλος και που ασχολείται με προσωπικές πληροφορίες που είναι τόσο ευαίσθητες είχε αφήσει έναν τεράστιο αριθμό προσωπικών δεδομένων ασθενούς σχεδόν εντελώς απροστάτευτο.

Όταν η TechCrunch επικοινώνησε με το εργαστήριο, έλαβε μια επίσημη απάντηση ότι η έρευνα βρίσκεται σε εξέλιξη, αλλά ο εκπρόσωπος του εργαστηρίου δεν απάντησε ποτέ σε άλλες ερωτήσεις και δεν ανέφερε εάν ο ινδικός πάροχος υγείας σκοπεύει να αποκαλύψει πληροφορίες σχετικά με την έκθεση της βάσης δεδομένων στους ασθενείς της.