Otro día, otra filtración de datos en el sector sanitario: Adit dejó expuestos 3,1 millones de registros de pacientes
Poner los datos de millones de personas en una base de datos mal configurada es un error que cometen demasiadas organizaciones. Sin embargo, cuando se encuentra la exposición, las personas culpables deben asegurarse de que el problema se revele adecuadamente y de que se tomen medidas para prevenir tales incidentes en el futuro. Desafortunadamente, como pueden testificar investigadores como Bob Diachenko, a veces, estas personas prefieren actuar como si nada hubiera pasado.
Table of Contents
Bob Diachenko descubrió una base de datos que expone la información personal de 3,1 millones de pacientes
El martes, Bob Diachenko publicó una publicación de LinkedIn sobre una base de datos recientemente expuesta que contiene los datos personales de alrededor de 3,1 millones de personas. La información filtrada incluyó nombres, direcciones de correo electrónico y físicas, números de teléfono, así como las instituciones donde las personas afectadas reciben tratamiento médico. Estaba claro que los datos habían sido expuestos por una organización que trabaja en el sector de la salud y, luego de una rápida investigación, Diachenko se dio cuenta de que la base de datos pertenecía a Adit, una plataforma que ayuda a médicos y hospitales a construir su presencia en línea y crear un sistema. que permite a los pacientes reservar citas con unos pocos clics.
Decir que Bob Diachenko no es ajeno a este tipo de filtraciones sería quedarse corto. Ha jugado un papel clave en el descubrimiento y la protección de miles de millones de registros almacenados en bases de datos mal configuradas. Una vez que supo que los datos pertenecían a Adit, no perdió tiempo en contactar a la organización y revelar la filtración.
Adit no hizo nada para proteger la base de datos
No está del todo claro cuándo se expuso por primera vez el clúster Elasticsearch, pero lo más probable es que sucedió en los días anteriores al 12 de julio porque fue entonces cuando el motor de búsqueda BinaryEdge lo indexó. Un día después, Bob Diachenko ya lo había descubierto y se había puesto en contacto con Adit. Desafortunadamente, durante los siguientes nueve días, no recibió respuesta.
Esta es una mala noticia para cualquiera que se haya visto afectado por la fuga. Experimentos recientes han demostrado que las bases de datos con fugas son atacadas varias veces al día y que cada alerta sobre un servidor mal protegido debe tratarse como una emergencia. Adit no hizo eso, y solo podemos especular cuántos ciberdelincuentes accedieron a los datos mientras aún estaban en línea.
En un momento, un script automatizado decidió poner fin a la filtración.
El bot Meow destruyó los datos de Adit
El 22 de julio, diez días después de que BinaryEdge indexara la base de datos, Diachenko decidió echarle un vistazo y ver si Adit finalmente había logrado protegerla. No lo había hecho.
El clúster de Elasticsearch todavía estaba en línea y era accesible desde cualquier parte del mundo. Sin embargo, todas las líneas dentro de él fueron reemplazadas por cadenas alfanuméricas aleatorias con la palabra "miau" agregada a ellas. La base de datos había sido atacada por el bot Meow.
Aunque apareció relativamente recientemente, el bot Meow ya ha logrado destruir miles de bases de datos. Es un script automatizado que busca instalaciones de Elasticsearch y MongoDB que están conectadas a Internet pero no están protegidas por una contraseña y corrompen los datos dentro de ellas. La información de texto sin formato se reemplaza por cadenas aleatorias que siempre terminan en "miau", de ahí el nombre.
La evidencia sugiere que el bot Meow no roba los datos antes de corromperlos, y no deja notas de rescate. Lo más probable es que haya sido creado por un hacker vigilante que quiere ayudar a las organizaciones a proteger sus datos enseñándoles una dura lección sobre ciberseguridad. Cualquiera que sea el caso, el hecho es que en este caso particular, los datos de los pacientes ya no estaban expuestos después del ataque.
¿Quiénes se vieron afectados y a qué deben prestar atención?
Es posible que los médicos y las organizaciones de atención médica que usan Adit ni siquiera sepan sobre la fuga, lo que significa que no tienen forma de informar a sus pacientes. Las personas afectadas pueden ser conscientes de ello si Adit decide cooperar, pero, dado que aún no ha revelado públicamente el incidente, esto no parece muy probable en este momento.
Los datos ya no están en línea en su forma de texto sin formato, pero permanecieron allí durante bastante tiempo, y existe la posibilidad de que cayeran en las manos equivocadas. Es difícil decir qué parte de los usuarios de Adit se vieron afectados, por lo que si alguna vez interactuó con la plataforma, debe tener más cuidado con las posibles estafas.
