Milioni di persone in India potrebbero aver subito una violazione dei propri dati medici
Secondo un rapporto pubblicato da TechCrunch, il dottor Lal PathLabs, un operatore sanitario e un laboratorio di test medici con sede a Delhi, ha lasciato un vuoto nel suo database per mesi. Un database accessibile al pubblico è rimasto attivo per mesi senza alcun tipo di protezione.
Il laboratorio è uno dei più grandi del suo genere in tutta l'India, con circa 70mila pazienti assistiti su base giornaliera. Ovviamente, questo significa che è anche uno dei più grandi centri di test per Covid-19 nel paese.
Si è scoperto che il dottor Lal PathLabs teneva un gran numero di enormi fogli di calcolo pieni di dati personali dei pazienti su un bucket di archiviazione di Amazon Web Services, ma non c'era protezione e nessuna password, il che significa che chiunque poteva accedere a tutti i record.
Il database che perde è stato scoperto dal ricercatore di sicurezza Sami Toivonen che ha segnalato il problema al laboratorio già nel settembre 2020. Secondo l'intervista di Toivonen a TechCrunch, l'accesso allo spazio di archiviazione che perde è stato interrotto, ma il ricercatore non ha ricevuto risposta dal laboratorio.
Secondo Toivonen, i dati contenuti nei fogli di calcolo esposti contenevano milioni di cartelle cliniche individuali, inclusi i risultati dei test giornalieri. Le informazioni contenute nelle banche dati consistevano in nomi dei pazienti, date di nascita, indirizzi di casa, numeri di cellulare e diversi test eseguiti, che è una fonte tangenziale di informazioni per lo stato di salute della persona. Alcuni dei dettagli aggiuntivi su alcuni pazienti hanno anche affermato se sono positivi o meno al Covid-19.
Ricercatori sorpresi da Lax Database Security
Toivonen ha detto di essere rimasto "sbalordito" dalla scoperta e dal fatto che un'organizzazione così grande e che trattava informazioni personali così sensibili aveva lasciato un'enorme quantità di dati personali dei pazienti praticamente completamente privi di protezione.
Quando TechCrunch ha contattato il laboratorio, hanno ricevuto una risposta formale che un'indagine è in corso, ma il rappresentante del laboratorio non ha mai risposto ad altre domande e non ha menzionato se il fornitore di servizi sanitari indiano intende o meno divulgare informazioni sull'esposizione del database ai suoi pazienti.