Debido a un error en la implementación de su sistema en línea, el Departamento de Salud y Bienestar de Bengala Occidental, India expuso la información de al menos 8 millones de pruebas de COVID-19 realizadas a su población. Este hallazgo fue reportado por el especialista en ciberseguridad Sourajeet Majumder, quien en el pasado reportó incidentes similares.
“Puedo confirmar que encontré un problema en un sitio web del gobierno de India, lo que habría resultado en la filtración de las pruebas COVID-19 de millones de personas en un territorio en particular”, menciona Majumder. El experto menciona que los informes expuestos contienen diversos registros confidenciales, incluyendo nombres, fechas de nacimiento, domicilios, entre otros.
El investigador detectó esta filtración al ver el contenido de un mensaje de texto enviado a un laboratorio de COVID-19: “Pude descubrir que la estructura de la URL que conduce a este sitio se compone de un número de identificación de informe codificado en base64.”
Esta información codificada en base64 podría ser descifrada a un formato más simple, lo que eventualmente llevaría a la exposición de estos registros médicos confidenciales. Además, ya que la codificación en base64 aplicada al identificador numérico era opcional, el experto no tuvo dificultad para eliminarlo para recuperar la información. De este modo Majumder demostró que un actor de amenazas podría recuperar los resultados de estas pruebas a través de un simple proceso de enumeración de URL, por ejemplo:
- https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX1
- https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX2
- https://cpms.wbhealth.gov[.]in:8003/Covid19.aspx?SRFID=1931XXXXXX3
Como se menciona anteriormente, cada informe contiene el nombre del paciente, edad, sexo, domicilio, resultado de la prueba COVID-19, fecha de aplicación, número de registro y nombre del laboratorio.
El Departamento de Salud y Bienestar recibió el reporte de y encomendó a su departamento de TI la corrección de estos problemas de seguridad. Si bien las autoridades no respondieron directamente al investigador que presentó el reporte, una rápida revisión a la plataforma afectada demuestra que las fallas han sido corregidas.
“Ahora, los endpoints que dirigían a estos informes confidenciales devuelven al usuario un mensaje 404 (NOT FOUND)”, menciona el investigador. Por otra parte el Doctor Sushant Roy, responsable del manejo de la pandemia en Bengala Occidental también habló sobre la filtración: “Sabemos que estos registros deben mantenerse de forma confidencial en beneficio de la privacidad de estos pacientes”, reconoce.
Desafortunadamente esta no es la primera ocasión que se exponen detalles de esta naturaleza. Hace un par de meses múltiples laboratorios independientes se vieron afectados por un incidente similar, exponiendo los resultados de pruebas COVID-19 debido a un error de configuración de URL. Los administradores de TI a cargo de estos registros deben adoptar un enfoque de protección a la privacidad de los pacientes, ya que la filtración de esta información podría generar consecuencias desastrosas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
