Milhões de pessoas na Índia podem ter sofrido uma violação de seus dados médicos
De acordo com uma reportagem publicada pela TechCrunch, o Dr. Lal PathLabs, um provedor de saúde e laboratório de testes médicos com sede em Delhi, deixou um buraco em seu banco de dados por meses. Um banco de dados acessível ao público ficou ativo por meses a fio, sem qualquer tipo de proteção.
O laboratório é um dos maiores do tipo em toda a Índia, com cerca de 70 mil pacientes atendidos diariamente. Claro, isso significa que também é um dos maiores centros de testes para Covid-19 no país.
Descobriu-se que o Dr. Lal PathLabs estava mantendo um grande número de planilhas enormes cheias de dados pessoais de pacientes em um balde de armazenamento da Amazon Web Services, mas não havia proteção e senha, o que significa que qualquer pessoa pode acessar todos os registros.
O banco de dados com vazamento foi descoberto pelo pesquisador de segurança Sami Toivonen, que relatou o problema ao laboratório em setembro de 2020. De acordo com a entrevista de Toivonen com o TechCrunch, o acesso ao armazenamento com vazamento foi interrompido, mas o pesquisador não recebeu resposta do laboratório.
De acordo com Toivonen, os dados contidos nas planilhas expostas continham milhões de registros de pacientes individuais, incluindo resultados de testes diários. As informações contidas nas bases de dados consistiam em nomes de pacientes, datas de nascimento, endereços residenciais, números de celular e diversos exames realizados, que é uma fonte tangencial de informações sobre o estado de saúde da pessoa. Alguns dos detalhes adicionais sobre certos pacientes também declararam se eles são Covid-19 positivos ou não.
Pesquisadores surpresos com o Lax Database Security
Toivonen disse que ficou "pasmo" com a descoberta e o fato de que uma organização tão grande e que lida com informações pessoais tão confidenciais deixou uma grande quantidade de dados pessoais de pacientes praticamente completamente desprotegidos.
Quando o TechCrunch contatou o laboratório, eles receberam uma resposta formal de que uma investigação está em andamento, mas o representante do laboratório nunca respondeu a nenhuma outra pergunta e não mencionou se o provedor de saúde indiano pretende ou não divulgar informações sobre a exposição do banco de dados aos seus pacientes.