Los datos de miles de pacientes se han violado gracias a los buckets de Amazon S3 mal configurados

Medico Data Leak Amazon S3 Buckets

Desafortunadamente, los incidentes en los que las empresas grandes y pequeñas dejan grandes cantidades de datos personales expuestos a Internet debido a bases de datos y servidores mal configurados son algo cotidiano. El mes pasado, por ejemplo, los investigadores de UpGuard y DataBreaches.net encontraron de forma independiente dos cubos de Amazon S3 mal configurados que colectivamente expusieron más de 300 mil archivos que contienen todo tipo de registros de atención médica. Aunque los dos equipos no coordinaron su trabajo, y aunque los cubos se descubrieron utilizando métodos diferentes, pronto se hizo evidente que los datos pertenecían a la misma compañía: Medico, Inc.

Más de 90 GB de datos personales y comerciales quedaron a la vista

Como era de esperar, muchos detalles relacionados con las condiciones médicas de los pacientes desprevenidos quedaron expuestos en los cubos. Hubo notas digitalizadas de exámenes y tratamientos, recetas escaneadas y una gran cantidad de otros documentos relacionados con la atención médica. Esto, por sí solo, suena bastante mal. Desafortunadamente, es solo el comienzo.

Además de los registros médicos de las personas, Medico también dejó bastantes hojas de cálculo relacionadas con su negocio y el de sus socios en los cubos mal configurados. Los expertos de UpGuard no entraron en demasiados detalles sobre la sensibilidad de los datos, pero sí notaron que "podría ser perjudicial para la empresa o sus clientes".

También había una gran cantidad de datos de seguros, y los documentos de la Explicación de beneficios (EOB) constituían una gran parte de la información expuesta. Además de los datos personales y de contacto, estos documentos revelan historiales médicos y de tratamiento que podrían causar a las víctimas muchos problemas si se abusa de ellos. En algunos casos, las EOB también revelaron detalles financieros, incluidos números de tarjetas de crédito y CVV. Para completar la imagen, los cubos mal configurados de Medico también contenían citaciones y solicitudes de registros médicos que incluían datos aún más confidenciales, como números de seguridad social.

Por último, pero no menos importante, se filtraron algunas de las credenciales y la comunicación interna de inicio de sesión de Medico, y nos dan una idea clara y preocupante de cómo la empresa trata el tema de la seguridad de los datos.

Los paquetes S3 mal configurados revelaron algunas de las prácticas de seguridad de datos menos que perfectas de Medico

Además de todos los datos de salud, personales y comerciales, los paquetes S3 ofensivos también almacenaron algunas hojas de cálculo que contenían credenciales de inicio de sesión en partes de la infraestructura de back-end de Medico. Aunque esta podría ser la forma más rápida, si no la más conveniente, de dar acceso a todos los empleados a las contraseñas importantes, hemos mencionado en el pasado que dejar este tipo de datos en texto plano nunca es una buena idea. Ahora puedes ver por qué.

Hay que decir que las hojas de cálculo en cuestión estaban protegidas por una contraseña que, al menos en teoría, habría impedido que cualquiera que encontrara los archivos los abriera. Desafortunadamente, los empleados de Medico también se enviaban por correo electrónico las contraseñas que abrieron las hojas de cálculo, y el departamento de TI de la compañía diseñó su sistema para respaldar automáticamente todas las comunicaciones internas en los mismos cubos S3. En otras palabras, las contraseñas que supuestamente protegían las hojas de cálculo se almacenaban en el mismo lugar que las hojas de cálculo. Estaban disponibles en texto sin formato y eran accesibles desde cualquier parte del mundo.

Tanto GuardUp como DataBreaches.net dijeron que Medico corrigió los errores de configuración poco después de recibir una notificación al respecto. Dada la naturaleza sensible de los datos expuestos, una reacción rápida fue esencial, y Medico merece una palmada en la espalda por asegurar los cubos tan pronto como se enteraron de la fuga.

Dicho esto, esto no debería ser una excusa para almacenar contraseñas en documentos de Microsoft Office alojados en la nube. Tampoco debería ser una excusa para cometer errores de configuración que son demasiado comunes .

En Duran
August 12, 2019
News
Spanish
August 12, 2019
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.