Miliony ludzi w Indiach mogły naruszyć swoje dane medyczne
Według raportu prasowego opublikowanego przez TechCrunch, dr Lal PathLabs, dostawca opieki zdrowotnej i laboratorium badań medycznych z siedzibą w Delhi, od miesięcy pozostawił w swojej bazie danych lukę. Publicznie dostępna baza danych działała miesiącami bez żadnej ochrony.
Laboratorium jest jednym z największych tego typu laboratoriów w całych Indiach, w którym codziennie obsługiwanych jest około 70 tysięcy pacjentów. Oczywiście oznacza to również, że jest to jeden z największych ośrodków testowych Covid-19 w kraju.
Okazało się, że dr Lal PathLabs przechowywał dużą liczbę ogromnych arkuszy kalkulacyjnych pełnych osobistych danych pacjentów w zasobniku Amazon Web Services, ale nie było tam żadnej ochrony ani hasła, co skutecznie oznacza, że każdy mógł uzyskać dostęp do wszystkich zapisów.
Nieszczelna baza danych została odkryta przez badacza bezpieczeństwa Sami Toivonena, który zgłosił problem do laboratorium już we wrześniu 2020 r. Według wywiadu Toivonena z TechCrunchem, dostęp do nieszczelnego magazynu został odcięty, ale badacz nie otrzymał odpowiedzi z laboratorium.
Według Toivonena dane zawarte w odsłoniętych arkuszach kalkulacyjnych zawierały miliony indywidualnych zapisów pacjentów, w tym wyniki codziennych badań. Informacje zawarte w bazach danych obejmowały imiona i nazwiska pacjentów, daty urodzenia, adresy domowe, numery telefonów komórkowych i różne wykonane badania, co jest stycznym źródłem informacji o stanie zdrowia danej osoby. W niektórych dodatkowych szczegółach dotyczących niektórych pacjentów podano również, czy mają oni pozytywny wynik na Covid-19.
Badacze zaskoczeni Lax Database Security
Toivonen powiedział, że był „zdumiony” odkryciem i faktem, że organizacja tak duża i zajmująca się tak wrażliwymi danymi osobowymi pozostawiła ogromną ilość danych osobowych pacjentów, praktycznie całkowicie bez ochrony.
Kiedy TechCrunch skontaktował się z laboratorium, otrzymało formalną odpowiedź, że dochodzenie jest w toku, ale przedstawiciel laboratorium nigdy nie odpowiedział na żadne inne pytania i nie wspomniał, czy indyjski dostawca usług zdrowotnych zamierza ujawnić swoim pacjentom informacje o ekspozycji bazy danych .
