Dados médicos de vítimas de acidentes de carro expostos online
A Secure Thoughts colaborou com o especialista em segurança Jeremiah Fowler para expor um vazamento de milhões de registros médicos pessoais por uma empresa de Inteligência Artificial.
A Secure Thoughts colaborou com o especialista em segurança Jeremiah Fowler para expor um vazamento de milhões de registros médicos pessoais por uma empresa de Inteligência Artificial. Aqui estão suas descobertas:
Em 7 de julho, descobri 2,5 milhões de registros que pareciam conter dados médicos confidenciais e PII (informações de identificação pessoal). Os registros incluíam nomes, registros de seguros, notas de diagnósticos médicos e muito mais. Após pesquisas adicionais, houve várias referências a uma empresa de inteligência artificial chamada Cense. Os registros foram rotulados como dados de teste e só podemos especular que este era um repositório de armazenamento destinado a manter os dados temporariamente enquanto eles são carregados no AI Bot ou sistema de gerenciamento Cense. Assim que pude validar os dados, enviei um aviso de divulgação responsável. Pouco depois que minha notificação foi enviada à Cense, vi que o acesso público ao banco de dados era restrito.
De acordo com seu perfil no Linkedin: “A Cense fornece soluções de gerenciamento de automação de processos inteligentes baseadas em SaaS. Seu produto inclui Cense Bot que permite aos usuários automatizar as tarefas, auxiliar funcionários e funcionários com informações. Outras soluções incluem gerenciamento de tickets, agendamento de compromissos e gerenciamento de ciclo de processo e muito mais. Ele também fornece gerenciamento de processos de negócios de ponta a ponta usando tecnologias de aprendizado de máquina. Atende soluções para educação, saúde, varejo e e-commerce ”.
Havia várias clínicas, seguradoras e contas listadas e parecia ser um dos dados de seus clientes, mas nunca fui capaz de validar exatamente quem era o cliente ou se eram todos os seus clientes. Havia duas pastas separadas com dados médicos suspeitos, uma contendo 1,58 milhões e a outra 830.000 registros. A configuração incorreta e os dados expostos foram armazenados diretamente no mesmo endereço IP do site da Cense. Ao remover a porta do endereço IP, qualquer pessoa com conexão à Internet pode acessar diretamente o portal de teste. Isso facilitou a verificação do proprietário do conjunto de dados, mas também expôs potencialmente outras áreas da rede, mantendo toda a infraestrutura em nuvem em um só lugar.
Os dados mostram um perfil
Com base nas informações que vi nos registros, esse conjunto de dados parecia ser de indivíduos que sofreram acidentes de carro e fizeram referência à quiropraxia ou a outras lesões no pescoço e na coluna. Todas as informações de seguro provinham de provedores de seguros de automóveis e isso incluía os números da apólice, os números dos sinistros, a data dos acidentes e outras informações. Da amostra que analisei, quase todos eles eram baseados em Nova York, mas não posso descartar que indivíduos de outros estados não foram afetados. Como pesquisador de segurança, nunca extraio ou faço download dos dados que encontro e apenas analiso e valido uma amostra limitada. Muitas vezes, é uma corrida contra o relógio para proteger os dados e notificar a organização o mais rápido possível e isso pode limitar o tempo que leva para analisar os dados completamente.
O processo de validação é diferente para cada descoberta, mas olhar para nomes e locais pode fornecer pistas para determinar se são dados reais ou fictícios. Para fazer isso, eu simplesmente pesquisei vários nomes muito obscuros ou exclusivos usando o Google e, ironicamente, haveria apenas 1 ou 2 pessoas em todos os Estados Unidos com esse nome, geolocalização e faixa etária correspondente. Isso é o que me levou a supor que se tratam de dados reais e de indivíduos reais. Os escritórios de advocacia e outros dados também corresponderam a indivíduos reais. Meu objetivo é sempre ajudar a proteger os dados expostos e notificar responsavelmente os proprietários dos dados que descobrimos antes que sejam comprometidos, roubados ou apagados por ransomware.
Os dados médicos são os mais valiosos e são comprados e vendidos diariamente na Dark Web. A empresa de infosec Trustwave publicou um relatório que avaliou registros médicos em US $ 250 por registro no mercado negro, enquanto os cartões de crédito foram vendidos por US $ 5,40 por registro. É fácil ver por que os cibercriminosos desejam obter os dados mais valiosos acima de todos os outros. As empresas e organizações devem fazer um trabalho melhor para proteger os dados que coletam e armazenam, mas quando esses dados podem incluir informações médicas ou do paciente, nunca devem ser armazenados em texto simples.
O que estava no banco de dados:
- Esse banco de dados foi configurado para abrir e ficar visível em qualquer navegador (acessível publicamente) e qualquer pessoa pode editar, baixar ou até mesmo excluir dados sem credenciais administrativas.
- 2.594.261 registros totais expostos
- Nomes, registros de seguros, notas de diagnósticos médicos que podem violar os regulamentos da HIPPA. (Na amostragem seletiva, pudemos validar alguns dos nomes obscuros para indivíduos que vivem na área de Nova York).
- Registros que indicam valores e totais de pagamentos e cobranças
- Banco de dados em risco por ransomware
- Endereços IP, portas, caminhos e informações de armazenamento que os cibercriminosos podem explorar para acessar mais profundamente na rede.
Sempre que houver uma potencial exposição de dados, as empresas têm a obrigação e o dever de notificar os usuários quando seus dados estiverem envolvidos. Nesse caso, o mais preocupante é que pude ver nomes, datas de nascimento, endereços e notas médicas que poderiam violar as leis do HIPPA. Não estou sugerindo de forma alguma que houve qualquer violação ou que a Cense violou quaisquer requisitos legais de notificação de violação de dados. No entanto, as penalidades por violar as regras da HIPAA podem ser severas e chegar a multas de no máximo $ 25.000 por violação. Estou apenas destacando os fatos da minha descoberta para aumentar a conscientização.
Qualquer exposição de dados pode colocar usuários ou clientes em risco, mas nenhum outro dado é tão ameaçador quanto os registros médicos ou de saúde. O banco de dados também continha registros internos que corriam o risco de um ataque de ransomware. Não está claro por quanto tempo os dados foram expostos ou quem mais teve acesso aos dados. Também não está claro se as autoridades ou indivíduos afetados foram notificados sobre a exposição dos dados. Em 8 de julho, enviei uma segunda mensagem confirmando que o acesso público foi restrito e os dados não foram mais expostos. Infelizmente, ninguém respondeu à minha notificação inicial ou mensagem de acompanhamento. Ninguém da Cense forneceu uma declaração ou comentários sobre o incidente de dados no momento da publicação.
De acordo com o site da Cense, a empresa possui escritórios na cidade de Nova York e Mumbai, na Índia. De acordo com a lei de Nova York, a “Lei de Notificação e Violação de Segurança da Informação”, em vigor em 7 de dezembro de 2005, fornece aos residentes do Estado de Nova York o direito de saber quando uma violação de segurança resultou na exposição de suas informações privadas. De acordo com a seção 899-aa da Lei Geral de Negócios, uma pessoa ou empresa que conduz negócios também deve notificar o Procurador Geral da NYS; a Divisão de Polícia Estadual do NYS; e a Divisão de Proteção ao Consumidor do Departamento de Estado.
Fonte: https://securethoughts.com/medical-data-of-auto-accident-victims-exposed-online/
