Exposición de Datos Sensibles de Salud
Miles de detalles altamente sensibles de salud de personas, incluyendo audio y video de sesiones de terapia, estaban accesibles públicamente en internet, según una nueva investigación. Este conjunto de información, asociado con una firma de atención médica de EE. UU., incluía más de 120,000 archivos y más de 1.7 millones de registros de actividad.
Descubrimiento de la Base de Datos Insegura
Al final de agosto, el investigador de seguridad Jeremiah Fowler descubrió el tesoro expuesto de información en una base de datos no segura vinculada al proveedor de medicina virtual Confidant Health. La empresa, que opera en cinco estados incluyendo Connecticut, Florida y Texas, ayuda a proporcionar recuperación de adicción al alcohol y las drogas, además de tratamientos de salud mental y otros servicios.
Detalles Personales Comprometidos
Dentro de los 5.3 terabytes de datos expuestos había detalles extremadamente personales sobre los pacientes que iban más allá de las sesiones de terapia personal. Los archivos vistos por Fowler incluían informes de varias páginas sobre las notas de evaluación psiquiátrica de las personas y detalles de los historiales médicos. “Al final de algunos de los documentos decía ‘datos de salud confidenciales’”, cuenta Fowler.
Por ejemplo, un archivo de evaluación psiquiátrica de siete páginas, que parecía basarse en una sesión de una hora con un paciente, detalla problemas con el alcohol y otras sustancias, incluyendo cómo el paciente afirmaba haber tomado “pequeñas cantidades” de narcóticos del suministro de cuidados paliativos de su abuelo antes de que el familiar falleciera. En otro documento, una madre describe la relación “controversial” entre su esposo e hijo, incluyendo que mientras su hijo usaba estimulantes, lo acusó de abuso sexual.
Documentos Administrativos y Efectos de la Exposición
Los documentos de salud expuestos incluían algunas notas médicas sobre la apariencia, el estado de ánimo, la memoria, los medicamentos y el estado mental general de las personas. Una hoja de cálculo vista por el investigador parece listar a los miembros de Confidant Health, el número de citas que han tenido, los tipos de citas y más.
“Hay traumas familiares desgarradores y realmente dolorosos, traumas personales”, agrega Fowler, añadiendo que algunos de los archivos eran audio y videos de sesiones de pacientes. “Es casi como tener tus secretos más oscuros revelados, y son cosas que nunca querrías que salieran a la luz.”
Junto con los archivos médicos en la base de datos expuesta, había documentos de administración y verificación, incluyendo copias de licencias de conducir, identificaciones y tarjetas de seguro, dice Fowler. Los registros también contenían indicaciones de que algunos datos son recopilados por chatbots o inteligencia artificial, haciendo referencia a indicaciones y respuestas de IA a preguntas.
Respuestas de Confidant Health
Confidant Health rápidamente cerró el acceso a la base de datos expuesta después de que Fowler contactó a la empresa, dice. El investigador, que alerta a las empresas sobre datos expuestos y no descarga ninguno de ellos, dice que una proporción de los 120,000 archivos que fueron expuestos tenía algún tipo de protección por contraseña. Fowler dice que revisó alrededor de 1,000 archivos para verificar la exposición y determinar la fuente de los datos para poder alertar a la compañía. Afirma que es inusual que una base de datos expuesta incluya tanto archivos bloqueados como desbloqueados.
En un comunicado a WIRED, Jon Read, cofundador de Confidant Health, dice que la empresa se toma en serio las preocupaciones de seguridad y “cuestiona la naturaleza sensacionalista” de los hallazgos. Read indica que una vez que la empresa fue notificada sobre la “configuración inapropiada”, el acceso a los archivos expuestos fue “reparado en menos de una hora.”
Fuente y créditos: www.wired.com
Cats: Security,Security / Privacy,Security / Security News,Freudian Slip
