Los datos de miles de pacientes se han violado gracias a los buckets de Amazon S3 mal configurados

Medico Data Leak Amazon S3 Buckets

Desafortunadamente, los incidentes en los que las empresas grandes y pequeñas dejan grandes cantidades de datos personales expuestos a Internet debido a bases de datos y servidores mal configurados son algo cotidiano. El mes pasado, por ejemplo, los investigadores de UpGuard y DataBreaches.net encontraron de forma independiente dos cubos de Amazon S3 mal configurados que colectivamente expusieron más de 300 mil archivos que contienen todo tipo de registros de atención médica. Aunque los dos equipos no coordinaron su trabajo, y aunque los cubos se descubrieron utilizando métodos diferentes, pronto se hizo evidente que los datos pertenecían a la misma compañía: Medico, Inc.

Más de 90 GB de datos personales y comerciales quedaron a la vista

Como era de esperar, muchos detalles relacionados con las condiciones médicas de los pacientes desprevenidos quedaron expuestos en los cubos. Hubo notas digitalizadas de exámenes y tratamientos, recetas escaneadas y una gran cantidad de otros documentos relacionados con la atención médica. Esto, por sí solo, suena bastante mal. Desafortunadamente, es solo el comienzo.

Además de los registros médicos de las personas, Medico también dejó bastantes hojas de cálculo relacionadas con su negocio y el de sus socios en los cubos mal configurados. Los expertos de UpGuard no entraron en demasiados detalles sobre la sensibilidad de los datos, pero sí notaron que "podría ser perjudicial para la empresa o sus clientes".

También había una gran cantidad de datos de seguros, y los documentos de la Explicación de beneficios (EOB) constituían una gran parte de la información expuesta. Además de los datos personales y de contacto, estos documentos revelan historiales médicos y de tratamiento que podrían causar a las víctimas muchos problemas si se abusa de ellos. En algunos casos, las EOB también revelaron detalles financieros, incluidos números de tarjetas de crédito y CVV. Para completar la imagen, los cubos mal configurados de Medico también contenían citaciones y solicitudes de registros médicos que incluían datos aún más confidenciales, como números de seguridad social.

Por último, pero no menos importante, se filtraron algunas de las credenciales y la comunicación interna de inicio de sesión de Medico, y nos dan una idea clara y preocupante de cómo la empresa trata el tema de la seguridad de los datos.

Los paquetes S3 mal configurados revelaron algunas de las prácticas de seguridad de datos menos que perfectas de Medico

Además de todos los datos de salud, personales y comerciales, los paquetes S3 ofensivos también almacenaron algunas hojas de cálculo que contenían credenciales de inicio de sesión en partes de la infraestructura de back-end de Medico. Aunque esta podría ser la forma más rápida, si no la más conveniente, de dar acceso a todos los empleados a las contraseñas importantes, hemos mencionado en el pasado que dejar este tipo de datos en texto plano nunca es una buena idea. Ahora puedes ver por qué.

Hay que decir que las hojas de cálculo en cuestión estaban protegidas por una contraseña que, al menos en teoría, habría impedido que cualquiera que encontrara los archivos los abriera. Desafortunadamente, los empleados de Medico también se enviaban por correo electrónico las contraseñas que abrieron las hojas de cálculo, y el departamento de TI de la compañía diseñó su sistema para respaldar automáticamente todas las comunicaciones internas en los mismos cubos S3. En otras palabras, las contraseñas que supuestamente protegían las hojas de cálculo se almacenaban en el mismo lugar que las hojas de cálculo. Estaban disponibles en texto sin formato y eran accesibles desde cualquier parte del mundo.

Tanto GuardUp como DataBreaches.net dijeron que Medico corrigió los errores de configuración poco después de recibir una notificación al respecto. Dada la naturaleza sensible de los datos expuestos, una reacción rápida fue esencial, y Medico merece una palmada en la espalda por asegurar los cubos tan pronto como se enteraron de la fuga.

Dicho esto, esto no debería ser una excusa para almacenar contraseñas en documentos de Microsoft Office alojados en la nube. Tampoco debería ser una excusa para cometer errores de configuración que son demasiado comunes .

August 12, 2019

Leave a Reply

IMPORTANT! To be able to proceed, you need to solve the following simple math.
Please leave these two fields as is:
What is 3 + 4 ?