miércoles, 8 de agosto de 2018

Expuestos datos médicos de 2 millones de Méxicanos

Una base de datos MongoDB sin ninguna protección ha sido expuesta a internet contenía unos dos millones de datos pesronales de pacientes del sistema medico de México. La base de datos fue descubierta por el investigador de seguridad Bob Diachenko via Shodan, el buscador que filtra miles de dispositivos conectados a internet que no sean solamente servidores web. Cuando se descubrió, esta base de datos MongoDB era accesible y editable por cualquiera en internet sin necesidad de ninguna autenticación.  No es la primera vez que una Base de Datos MongoDB queda expuesta sin protección y es descubierta vía Shodan.




Despues de analizar la base de datos, Diachenko fue capaz de encontrar los correos electrónicos de los administradores, que pertenecían a Hova Health, una empresa tecnológica de fuera de México que se centra en el sector sanitario.

El otro dominio, efimed.care, no se sabe a quien pertenece, pero posiblemente sea un servicio sanitario del gobierno.

Diachenko contacto con Hova Health el mismo dia que descubrio la base de datos, y la misma empresa la securizo en las proximas tres horas.

Mientras que las entradas en la propia base de datos indicaban que empresas llevaban las bases de datos, Diachenko dijo que no dijeron ser propietarias de la misma. Así que, en este momento, aun sigue siendo desconocido a quien pertenecen estos datos.

Datos personales expuestos



El 3 de agosto, descubrió la información personal de 2,373,764 pacientes de México estaba públicamente disponible a través de una instancia de MongoDB mal configurada. Los datos incluyen campos tales como: 
  • Nombre completo y género (sexo)
  • Número CURP (es decir, número de código de identificación personal, un código de identidad único para los ciudadanos y residentes de México)
  • Número de póliza de seguro y su fecha de vencimiento
  • Fecha de nacimiento
  • Domicilio
  • Datos de "discapacidad" e "inmigración"
Curiosamente, toda la información de los pacientes que revisó estaba relacionada con el estado de Michoacán. La recopilación en la base de datos recibió el nombre de Efimed ('efimed_mich_8020'), un tipo de registros que forma parte de la plataforma SRS (Sistema de registro de salud) 

Que todo combinado no responda a la pregunta de quién era el último propietario de la base de datos sin protección de contraseña. 

No está claro cuánto tiempo estuvo expuesta públicamente la información o quién más tenía acceso. Esta es otra advertencia para cualquier compañía o proveedor de servicios que maneje y almacene datos médicos personales. Los expertos en seguridad advierten que no solo deben auditar sus procesos de seguridad con regularidad, sino que también deben tener un proceso de respuesta ante incidentes en caso de una fuga de datos. 


Los problemas con MongoDB se conocen desde al menos marzo de 2013 y desde entonces se conocen ampliamente. La compañía actualizó su software con nuevos valores predeterminados de seguridad y ha publicado las pautas de seguridad. Han pasado cinco años y estas bases de datos no seguras todavía están disponibles en Internet, casi 54,000 de ellas ahora, según Shodan.



Vía:
https://blog.segu-info.com.ar/2018/08/datos-de-sanidad-de-dos-millones-de.html
https://www.bleepingcomputer.com/news/security/health-care-data-of-2-million-people-in-mexico-exposed-online/
https://www.linkedin.com/pulse/draft/AgF9Ma3EceoC2AAAAWUOuL48hIy2sW_c_L-Ul4I3UC26TKyeMXuq2VKLRNhlqJ3It9pngg8

No hay comentarios:

Publicar un comentario