Migliaia di dati dei pazienti sono stati violati grazie a secchi Amazon S3 non configurati correttamente

Medico Data Leak Amazon S3 Buckets

Sfortunatamente, incidenti in cui grandi e piccole aziende lasciano grandi quantità di dati personali esposti a Internet a causa di database e server mal configurati sono un evento quotidiano. Il mese scorso, ad esempio, i ricercatori di UpGuard e DataBreaches.net hanno trovato in modo indipendente due secchi Amazon S3 non configurati correttamente che hanno esposto collettivamente oltre 300 mila file contenenti tutti i tipi di cartelle cliniche. Sebbene i due team non abbiano coordinato il loro lavoro e sebbene i bucket siano stati scoperti utilizzando metodi diversi, è diventato presto evidente che i dati appartenevano alla stessa azienda - Medico, Inc.

Più di 90 GB di dati personali e aziendali sono stati lasciati al aperto

Com era prevedibile, un sacco di dettagli relativi a condizioni mediche ignare dei pazienti erano esposti nei secchi. erano appunti di esami e trattamenti digitalizzati, prescrizioni scannerizzate e una miriade di altri documenti relativi alla sanità. Questo, da solo, suona piuttosto male. Purtroppo è solo inizio.

Oltre alle cartelle cliniche delle persone, Medico ha anche lasciato un sacco di fogli di calcolo relativi al attività sua e dei suoi partner in secchi non configurati correttamente. Gli esperti di UpGuard non hanno approfondito troppi dettagli sulla sensibilità dei dati, ma hanno notato che "potrebbe essere dannoso per azienda o i loro clienti".

erano anche molti dati assicurativi, con i documenti Explanation of Benefits (EOB) che costituivano gran parte delle informazioni esposte. Oltre ai dettagli personali e di contatto, questi documenti rivelano storie mediche e terapeutiche che potrebbero causare un sacco di problemi alle vittime se abusate. In alcuni casi, gli EOB hanno anche rivelato dettagli finanziari, tra cui numeri di carta di credito e CVV. Per completare il quadro, i secchi mal configurati di Medico contenevano anche citazioni e richieste di cartelle cliniche che includevano dati ancora più sensibili come i numeri di previdenza sociale.

Ultimo ma non meno importante, alcune delle credenziali di accesso interne di Medico e delle comunicazioni sono trapelate e ci danno una visione preoccupantemente chiara di come la società tratta la questione della sicurezza dei dati.

I bucket S3 non configurati correttamente hanno rivelato alcune delle pratiche di sicurezza dei dati tut altro che perfette di Medico

Oltre a tutti i dati sanitari, personali e aziendali, i bucket S3 offensivi memorizzavano anche alcuni fogli di calcolo che contenevano le credenziali di accesso a parti del infrastruttura di back-end di Medico. Sebbene questo potrebbe benissimo essere il modo più veloce, se non il più conveniente, di dare a tutti i dipendenti accesso alle password importanti, in passato abbiamo detto che lasciare questo tipo di dati in chiaro non è mai una buona idea. Ora puoi vedere perché.

Va detto che i fogli di calcolo in questione erano protetti da una password che, almeno in teoria, avrebbe impedito a chiunque avesse trovato i file di aprirli. Sfortunatamente, anche i dipendenti di Medico si scambiavano via e-mail le password che aprivano i fogli di calcolo e il reparto IT del azienda progettava il suo sistema per eseguire automaticamente il backup di tutte le comunicazioni interne sugli stessi bucket S3. In altre parole, le password che avrebbero dovuto proteggere i fogli di calcolo sono state memorizzate nello stesso posto dei fogli di calcolo stessi. Erano disponibili in testo semplice ed erano accessibili da qualsiasi parte del mondo.

Sia GuardUp che DataBreaches.net hanno affermato che Medico ha risolto gli errori di configurazione poco dopo essere stato informato su di essi. Data la natura sensibile dei dati esposti, è stata essenziale una rapida reazione e Medico merita una pacca sulla schiena per fissare i secchi non appena vengono a sapere della perdita.

Detto questo, questa non dovrebbe essere una scusa per archiviare le password nei documenti di Microsoft Office ospitati nel cloud. Non dovrebbe nemmeno essere una scusa per fare errori di configurazione troppo comuni .

August 12, 2019

Leave a Reply

IMPORTANT! To be able to proceed, you need to solve the following simple math.
Please leave these two fields as is:
What is 8 + 6 ?