'Uber de enfermeras': incidente expone más de 86,000 registros médicos e información de identificación personal a través de un bucket de S3 público

 (websiteplanet.com)
1 puntos por GN⁺ 2025-03-14 | 1 comentarios | Compartir por WhatsApp

Miles de registros, incluida PII, expuestos en línea

  • La base de datos de ESHYFT, una empresa de healthtech con sede en Nueva Jersey, quedó expuesta sin protección por contraseña. La empresa conecta centros de salud y enfermeras a través de una plataforma de app móvil.
  • La base de datos expuesta contenía 86,341 registros, con un tamaño total de 108.8 GB. Incluía fotos de perfil de usuarios, registros de horarios laborales, certificaciones profesionales, contratos de trabajo y currículums.
  • Algunos documentos también incluían documentación médica con diagnósticos, recetas e información de tratamiento, lo que podría constituir una violación de las normas de HIPAA.
  • La base de datos parece pertenecer a ESHYFT; tras su descubrimiento, se notificó a la empresa y un mes después el acceso fue restringido.

El papel y la importancia de ESHYFT

  • ESHYFT ofrece una plataforma móvil que conecta centros de salud y enfermeras, y opera en 29 estados.
  • La app permite que las enfermeras elijan turnos que se ajusten a su horario y ofrece a los centros de salud personal de enfermería verificado.
  • Tiene más de 50,000 descargas en Google Play Store.

Riesgos de la exposición de datos personales

  • La exposición de información de identificación personal (PII), datos salariales e historial laboral puede generar riesgos y vulnerabilidades graves tanto para las personas como para las instituciones empleadoras.
  • Cuando se combinan datos como identificaciones y direcciones, los ciberdelincuentes pueden cometer robo de identidad o fraude financiero.
  • La información expuesta puede usarse en campañas de phishing para inducir a las víctimas a revelar más datos personales o financieros.

Recomendaciones para reforzar la seguridad

  • Las empresas de healthtech y los proveedores de software médico deben adoptar medidas proactivas de ciberseguridad para proteger los datos y prevenir accesos no autorizados.
  • Es necesario exigir protocolos de cifrado para los datos sensibles y realizar auditorías de seguridad periódicas de la infraestructura interna.
  • Los datos sensibles deben anonimizarse siempre que sea posible, y los datos que no se utilicen deben almacenarse con fecha de expiración para limitar su conservación.
  • Debe requerirse autenticación multifactor (MFA) para que, incluso si las credenciales de usuario quedan expuestas, no sea fácil acceder.
  • Deben establecerse planes de respuesta ante filtraciones de datos y canales de comunicación dedicados para reportar incidentes de seguridad.

Conclusión

  • En caso de una filtración de datos, debe proporcionarse con rapidez un aviso responsable a todas las personas que puedan verse afectadas.
  • Los usuarios deben recibir capacitación para reconocer intentos de phishing, lo que beneficia tanto a los proveedores del servicio como a los usuarios.
  • Este informe fue elaborado con fines educativos y no refleja una afectación real a la integridad de los datos.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-03-14
Comentarios de Hacker News
  • Hace poco escuché de una empresa que, antes de ofrecer turnos, revisa el nivel de deuda de una persona mediante su historial crediticio y, con base en eso, le baja la tarifa por hora
    • Si hay consecuencias negativas por este tipo de violaciones, deberían pagar un precio suficiente por ello
  • En la sección de seguridad de datos de su política de privacidad dice lo siguiente
    • Usamos ciertas salvaguardas físicas, administrativas y técnicas para mejorar la integridad y seguridad de la información que recopilamos y mantenemos
    • Ninguna medida de seguridad es perfecta ni impenetrable
    • No está diseñado para almacenar ni proteger información que pueda considerarse información de salud protegida según la definición de HIPAA
    • Me pregunto si pueden evadir su responsabilidad con la excusa de que el sistema no fue diseñado para cumplir con HIPAA
  • La gente se confunde por el nivel de autoridad de los profesionales médicos
    • Nunca deberías dar tu número de seguro social a un médico o a un hospital
    • Cuando quieren verificar tu identificación, eso no significa que deban escanearla o tomarle una foto
    • Los médicos y hospitales son extremadamente malos en seguridad de la información
  • La industria de la salud en general tiene muchos problemas
    • Los hospitales baratos y propiedad de corporaciones no contratan enfermeras como empleadas de tiempo completo
    • Lo barato fue lo que llevó a los hospitales a usar esta app, y es posible que hayan dado reembolsos a los administradores que la aprobaron
    • ESHYFT debería quebrar, pero probablemente no pase nada
  • Me pregunto qué tan antiguo era el bucket de S3
    • AWS configuró los nuevos buckets de S3 como privados por defecto
    • Es posible que fuera uno viejo, o que lo hayan abierto de forma temeraria porque no podían subir o descargar archivos desde la app/servicio móvil
  • Me pregunto si hay que culpar a AWS
    • Las prácticas de seguridad que usas cuando hackeas a las 3 a. m. para tus amigos no aplican a un producto que aloja PII
    • Implementar seguridad básica de datos depende del usuario
  • Me pregunto por qué usaron la expresión "Uber para enfermeras" en lugar de poner el nombre real de la empresa en el título
  • Me pregunto si solo están fingiendo que todavía existe un organismo regulador funcional que pueda actuar sobre este problema
  • Trabajé en tecnología de la salud, y esto es un problema muy serio
    • Te multan por cada registro de paciente, y no sale barato
    • Se va acumulando en la "pared de la vergüenza", y la gente con la que podrías hacer negocios en el futuro puede verlo
    • Si cometes un error, podrías ser personalmente responsable
    • En mi trabajo anterior nos asegurábamos de que la PII no pasara por la API y la guardábamos en un VPS completamente separado del sistema
    • Cuando se necesitaban registros, los poníamos en un bucket de S3 y proporcionábamos un enlace temporal al que solo el solicitante podía acceder
    • Era muy engorroso, pero podía dormir tranquilo
  • Leí una investigación que decía que los trabajos que requieren vocación son los peor pagados / con más sobrecarga laboral
    • Ej.: maestros, enfermeras, músicos, deportistas