El investigador destacó que, “toda la información de los pacientes que revisé estaba relacionada con el estado de Michoacán”.
Regeneración, 7 de agosto de 2018.- Una base de datos MongoDB fue expuesta en línea la cual contenía información de atención médica de 2 millones de pacientes en México.
Estos datos incluyen información como el nombre completo, el sexo, la fecha de nacimiento, la información del seguro, el estado de discapacidad y la dirección de la persona.
La base de datos fue descubierta por un investigador de seguridad llamado Bob Diachenko vía Shodan.
El investigador destacó que los problemas con MongoDB se conocen desde marzo de 2013 y a pesar de que la compañía ha actualizado su software con los valores predeterminados de seguridad y ha publicado las pautas de seguridad, estas bases de datos no seguras todavía y están ampliamente disponibles en Internet. “Casi 54 mil bases de datos está disponibles ahora”, según el motor de búsquedas Shodan que cita el experto.
Shodan es un motor de búsqueda de elementos que viven en internet, como pueden ser routers, firewalls, servidores, etc.
Captura de pantalla tomada de la base de datos
Gracias a este motor de búsqueda fue que Bob detectó esta base de datos MongoDB con la información de los pacientes mexicanos, lamentablemente esta base de datos estaba completamente expuesta, ya que para acceder a esta no era necesario ni si quiera introducir alguna passwords.
Después de analizar la base de datos, Diachenko pudo encontrar los campos que contenían las direcciones de correo electrónico del administrador.
Curiosamente, destacó el investigador, “toda la información de los pacientes que revisé estaba relacionada con el estado de Michoacán”.
A pesar de que las entradas de la base de datos daban fe de qué personas la administraban, ellas nunca confirmaron que dicha información era de su propiedad. En este sentido, Diachenko consideró que no se sabe con exactitud a quién pertenecen estos datos.
“No está claro cuánto tiempo estuvo expuesta públicamente la información o quién más, excepto yo, tenía acceso. Esta es otra advertencia para cualquier compañía o proveedor de servicios que maneje y almacene datos médicos personales. Los expertos en seguridad advierten que no sólo deben auditar sus procesos de seguridad con regularidad, sino que también deben tener un proceso de respuesta ante incidentes en caso de una fuga de datos”, señaló.
Estos correos electrónicos tenían los dominios de hovahealth.com y efimed.care como se muestra a continuación.
Bob aviso a las horas del descubrimiento a los administradores de Hova health, los cuales agradecieron la información, y que estaban trabajando con las áreas encargadas de la infraestructura para evaluar qué es lo que estaba pasando y evitar que se exploten este tipo de eventos.
Después de tres horas del aviso, la base de datos ya había sido securitizada.
Es de suma importancia que cualquier entidad que maneje información tanto de clientes o del mismo negocio en sí, logre securitizar las plataformas y no descuidar de ningún detalle a la hora de levantar los servicios.
Tiende a ser un problema generalizado que las aplicaciones que se desarrollan o que se instalan en internet tengan valores defecto de configuración y esas por lo general son las que se explotan y dejan al descubierto información completamente sensible.