Milhares de dados de pacientes foram violados graças a baldes Amazon S3 mal configurados
Infelizmente, os incidentes em que grandes e pequenas empresas deixam grandes quantidades de dados pessoais expostos à Internet por causa de bancos de dados e servidores mal configurados são uma ocorrência cotidiana. No mês passado, por exemplo, pesquisadores do UpGuard e do DataBreaches.net descobriram, independentemente, dois buckets do Amazon S3 configurados de forma descontrolada, que expuseram coletivamente mais de 300 mil arquivos contendo todos os tipos de registros de saúde. Embora as duas equipes não coordenassem seu trabalho, e embora os buckets tenham sido descobertos usando métodos diferentes, logo ficou aparente que os dados pertenciam à mesma empresa - Medico, Inc.
Mais de 90 GB de dados pessoais e comerciais foram deixados em aberto
Previsivelmente, muitos detalhes relacionados às condições médicas dos pacientes desavisados foram expostos nos baldes. Foram digitalizados exame e notas de tratamento, prescrições digitalizadas e uma série de outros documentos relacionados à saúde. Isso, por si só, parece muito ruim. Infelizmente, é apenas o começo.
Além dos registros médicos das pessoas, a Medico também deixou muitas planilhas referentes aos negócios de seus parceiros nos baldes mal configurados. Os especialistas da UpGuard não entraram em muitos detalhes sobre a sensibilidade dos dados, mas notaram que "pode ser prejudicial para a empresa ou seus clientes".
Também havia muitos dados de seguro, com documentos de Explicação de Benefícios (EOB) compondo uma grande parte da informação exposta. Além de detalhes pessoais e de contato, esses artigos revelam históricos médicos e de tratamento que podem causar muitas dificuldades às vítimas, caso sejam abusadas. Em alguns casos, os EOBs também revelaram detalhes financeiros, incluindo números de cartão de crédito e CVVs. Para completar a imagem, os baldes mal configurados da Medico também continham intimações e pedidos de registros médicos que incluíam dados ainda mais confidenciais, como números de seguridade social.
Por último, mas não menos importante, algumas das credenciais de login e comunicação internas da Medico foram vazadas, e elas nos fornecem uma visão preocupantemente clara de como a empresa trata a questão da segurança de dados.
Os baldes S3 configurados incorretamente revelaram algumas das práticas de segurança de dados menos perfeitas da Medico
Além de todos os dados médicos, pessoais e corporativos, os buckets ofensivos do S3 também armazenavam algumas planilhas que continham credenciais de login em partes da infra-estrutura de back-end da Medico. Embora isso possa muito bem ser a maneira mais rápida, se não a mais conveniente, de dar a todos os funcionários acesso a senhas importantes, mencionamos no passado que deixar esse tipo de dado em texto simples nunca é uma boa ideia. Agora você pode ver o porquê.
Deve-se dizer que as planilhas em questão foram protegidas por uma senha que, pelo menos em teoria, teria impedido que qualquer pessoa que encontrasse os arquivos as abrisse. Infelizmente, os funcionários da Medico também enviavam por e-mail as senhas que abriram as planilhas, e o departamento de TI da empresa projetou seu sistema para fazer o backup automático de toda a comunicação interna para os mesmos buckets do S3.. Em outras palavras, as senhas que deveriam proteger as planilhas eram armazenadas no mesmo lugar que as próprias planilhas. Eles estavam disponíveis em texto simples e eram acessíveis de qualquer lugar do mundo.
Tanto o GuardUp quanto o DataBreaches.net disseram que a Medico corrigiu os erros de configuração logo após ser notificado sobre eles. Dada a natureza sensível dos dados expostos, uma reação rápida foi essencial, e Medico merece um tapinha nas costas para proteger os baldes assim que souberam do vazamento.
Dito isto, isso não deve ser uma desculpa para armazenar senhas em documentos do Microsoft Office hospedados na nuvem. Não deve ser uma desculpa para cometer erros de configuração que também são muito comuns .
