Εκατομμύρια αρχεία πελατών που ανήκουν στην Dr. Lab PathLabs Ltd., σε μια από τις μεγαλύτερες εταιρείες ιατρικών δοκιμών της Ινδίας, βρέθηκαν εκτεθειμένα στο διαδίκτυο, δηλαδή μία ακόμη περίπτωση ανευθυνότητας μιας εταιρείας που δεν εξασφάλισε την αποθήκευση των ευαίσθητων πληροφοριών της που ήταν τοποθετημένα στο cloud.
Η εκτεθειμένη βάση δεδομένων, που ανακαλύφθηκε από τον ερευνητή ασφαλείας Sami Toivonen και αναφέρθηκε για πρώτη φορά στο TechCrunch, εντοπίστηκε παρατημένη στο Amazon Web Services Inc. S3 χωρίς κωδικό πρόσβασης. Τα αρχεία στη βάση δεδομένων περιελάμβαναν στοιχεία κράτησης, ονόματα, φύλο, διευθύνσεις, αριθμούς τηλεφώνου, διευθύνσεις ηλεκτρονικού ταχυδρομείου (email), αριθμούς αναγνώρισης ασθενούς, ψηφιακές υπογραφές, λεπτομέρειες πληρωμής, λεπτομέρειες γιατρού και πληροφορίες ιατρικών εξετάσεων. Τα δεδομένα περιλάμβαναν επίσης πληροφορίες σχετικά με ασθενείς που είχαν θετικά αποτελέσματα για το COVID-19.
Δεν είναι σαφές εάν τα εκτεθειμένα δεδομένα περιελάμβαναν μόνο ασθενείς στην Ινδία ή και σε άλλες χώρες όπου λειτουργεί το Dr. Lab PathLabs. Σε αυτό το σημείο αξίζει να επισημανθεί για όσους δεν γνωρίζουν πως η συγκεκριμένη εταιρεία δραστηριοποιείται ενεργά σε 20 χώρες παγκοσμίως, συμπεριλαμβανομένης της Νοτιοανατολικής Ασίας, της Μέσης Ανατολής και της Αφρικής.
Μετά την ανακάλυψη της βάσης δεδομένων, ο Toivonen είπε ότι επικοινώνησε με την εταιρεία, και λίγο αργότερα το τεχνικό προσωπικό της την διέγραψε αμέσως, εν τούτοις δεν ξανά επικοινώνησαν μαζί του μετά το πέρας αυτής της επικοινωνίας, προφανώς γιατί δεν το θεώρησαν τόσο σημαντικό .Σε μια δήλωση της προς το Livemint, η Dr. Lab PathLabs επιβεβαίωσε την αδικαιολόγητη έκθεση αυτών των ευαίσθητων δεδομένων, αλλά ισχυρίστηκε ότι οι πληροφορίες που εκτέθηκαν «αφορούσαν λιγότερο από το 0,5% των αρχείων της και πως το ζήτημα επιλύθηκε αμέσως.
«Είναι είναι αδιανόητο να εκτίθενται οι πληροφορίες που αφορούν την υγεία των ασθενών», δήλωσε ο Ben Goodman, πιστοποιημένος επαγγελματίας ασφάλειας συστημάτων πληροφοριών και ανώτερος αντιπρόεδρος στην ForgeRock Inc. «Αυτός ο τύπος δεδομένων μπορεί να χρησιμοποιηθεί από κυβερνοεγκληματίες με απώτερο σκοπό να τα πουλήσουν για κακοπροαίρετο σκοπό. Με λίγα λόγια είναι μία επικερδή δραστηριότητα που αποφέρει αρκετά έσοδα στους χάκερς. Επιπρόσθετα αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν από τα αυτοματοποιημένα bots, ώστε να αποκτήσουν πρόσβαση στον εκάστοτε διαδικτυακό λογαριασμό των θυμάτων.
Ο Τζέιμς Κάρντερ, επικεφαλής ασφαλείας και αντιπρόεδρος της εταιρείας πληροφοριών της LogRhythm Inc., σημείωσε ότι αν και η μετάβαση σε αποθηκευτικό χώρο με βάση το cloud είναι επωφελής, είναι σημαντικό για μια εταιρεία να κατανοήσει τι σημαίνει αυτό, και να λάβει τα απαραίτητα μέτρα προς αποφυγή δυσάρεστων καταστάσεων.
«Δυστυχώς, η Dr. Lab PathLabs Ltd δεν είχε εφαρμόσει τα αυτονόητα, δηλαδή αυστηρά μέτρα ασφαλείας για την προστασία των ευαίσθητων δεδομένων των ασθενών της, συμπεριλαμβανομένων των πληροφοριών που σχετίζονται με τα αποτελέσματα δοκιμών του COVID-19», δήλωσε ο Carder. «Η κακή πρακτική που σχετίζονται με τα πληροφοριακά συστήματα, όπως το να μην είναι ασφαλές ένα κοντέινερ στο cloud, πόσο μάλλον να είναι διαθέσιμο σε όλους στο Διαδίκτυο, χωρίς κωδικό πρόσβασης, σχεδόν πάντα οδηγεί σε παραβίαση δεδομένων, όπως έχουμε δει εκατομμύρια τέτοιου είδους περιστατικά κατά τα τελευταία χρόνια, και πάλι συμβαίνουν ξανά τα ίδια».
