Una nueva brecha de seguridad en el ámbito médico y de la salud ha puesto en riesgo a decenas de miles de personas.
La empresa de tecnología sanitaria ESHYFT, que tiene sede en Nueva Jersey (EE.UU.), se autodenomina como "un Uber para enfermeras" y opera en 29 estados del país norteamericano, ha estado exponiendo datos sensibles de sus usuarios durante meses. Así lo señala el medio tecnológico The Register, que informa de la falla de seguridad en exclusiva.
Más de 86.000 registros que contenían historiales médicos de enfermeras, imágenes de sus rostros, documentos de identidad, tarjeras de la seguridad social, archivos con registros mensuales de horas de trabajo, certificados profesionales, currículos, diagnósticos médicos, registros de recetas, reclamaciones de seguros por discapacidad e información confidencial vinculada a la compañía permanecieron en un contenedor S3 de Amazon Web Services (AWS) mal configurado y abierto durante meses.
El hallazgo lo realizó el investigador de seguridad Jeremiah Fowler, que encontró la base de datos sin cifrar ni protección de ningún tipo el 4 de enero. Dos días después se puso en contacto con ellos para advertirles.
ESHYFT le agradeció el aviso y le comunicó que estaba tomando medidas. Sin embargo, no fue muy rápida en proteger los registros. Tardó más de un mes en cerrar al acceso público el contenedor en la nube S3, no haciéndolo hasta la semana pasada.
"Esto es una locura, teniendo en cuenta que el sector sanitario es un blanco frecuente de ciberdelincuencia", ha comentado Fowler a The Register.
"Obviamente, la cantidad de tiempo es, como mínimo, impactante. Cuando hay una exposición de datos, cada segundo cuenta, y cada día adicional que se expone un archivo individual o una red de almacenamiento completa, aumenta considerablemente el riesgo potencial de que esa información sea explotada", ha añadido.
El contenedor expuesto incluía 108,8 GB de datos y 86.341 registros en total.
El Infojobs de las enfermeras
ESHYFT tiene una aplicación móvil que conecta a auxiliares de enfermería certificados (CNA), enfermeros de prácticas con licencia (LPN) y enfermeros registrados (RN) con turnos diarios en hospitales y otros centros de atención a largo plazo. Permite al personal de enfermería de EE.UU encontrar turnos disponibles en su zona, ver los salarios del centro e incluso recibir pagos a través de la aplicación.