COVID-19 y la exposición de información personal

El caso del Laboratorio Médico Avicena es una muestra de la vulnerabilidad de las plataformas sanitarias en línea creadas y puestas en producción para realizar el seguimiento de las pruebas COVID-19.

Por: Dardan Prebreza | Consultor Senior de Seguridad en Bishop Fox

 

 

Los registros electrónicos de salud (EHR) y la información de identificación personal (PII) son muy buscados por los ciberdelincuentes para llevar a cabo esquemas fraudulentos. 

Con la afluencia masiva de plataformas sanitarias en línea creadas y puestas en producción para realizar el seguimiento de las pruebas COVID-19 y permitir la generalización de la asistencia sanitaria a domicilio, estas soluciones –a menudo mal protegidas– dejan una ventana abierta para los delincuentes.

En septiembre, Tim Starks y Aaron Schaffer de The Washington Post, revelaron que el Departamento de Salud y Servicios Humanos no implementó protecciones básicas contra los piratas informáticos cuando desarrolló un sistema llamado HHS Protect para rastrear los datos de COVID-19 en 2020. 

El informe del Inspector General concluía que no aplicar controles de seguridad antes del despliegue de HHS Protect lo dejaba: 

“Susceptible a un riesgo desconocido y posiblemente inaceptablemente alto de fallo o compromiso por interrupciones no intencionadas (por ejemplo, desastres naturales o provocados por el hombre) o ciberataques”.

Caso plenamente identificado

Del mismo modo, descubrimos que el Laboratorio Médico Avicena, con sede en Kosovo, estaba afectado por un problema de controles de autorización insuficientes que permitía a usuarios no autentificados consultar un número de muestra COVID-19 específico. 

Este número era proporcionado por el Laboratorio Médico Avicena en cada prueba COVID-19 (independientemente de su tipo). No se requería autenticación para explotar esta vulnerabilidad. 

Además, dado que el número de la muestra era incremental, habría sido posible enumerar todas las pruebas COVID-19 realizadas por el Laboratorio Médico Avicena, desde su debut.

Según lo que pudimos evaluar en Bishop Fox, la primera muestra fue registrada en la plataforma el 2 de agosto de 2021, y tenía el número de 1.100.000. 

La muestra número 1.265.690 era la más reciente en el momento de redactar este informe. 

Una simple resta nos muestra que la plataforma tiene casi 166.000 registros, que contienen datos personales y médicos de sus pacientes.

Los resultados de Avicena se imprimían o enviaban por correo electrónico a sus pacientes, y en esta hoja de resultados, había un código QR que revelaba la aplicación avicena-ks.org. 

Además del código QR, también había una URL en la misma hoja.

Las amenazas rodean al Covid-19

En la página principal, la aplicación Avicena-ks.org se configuró de forma que permitiera a cualquier usuario con un número de muestra verificar los resultados de la prueba COVID-19. 

No se requería ninguna información de verificación adicional. Como resultado, los usuarios no autentificados podían consultar cualquier número de muestra y, por tanto, revelar y recuperar miles de pruebas COVID-19 y registros de pacientes.

Y como era de esperar, la respuesta proporcionaba información detallada sobre los resultados de las pruebas, pero también incluía la identificación personal como: 

• El número de identificación nacional (el equivalente a los números de la seguridad social en EE.UU.)
• Nombre y apellidos
• Así como la ciudad indicada por el paciente

El uso de software ilegal por parte de empresas desarrolladoras de programas informáticos sigue siendo un problema, ya que pone en peligro todos los datos a los que da servicio una aplicación determinada. 

En el caso de Avicena, lo más probable es que una aplicación PHP obsoleta y vulnerable se adaptara a las necesidades de Avicena, lo que dio lugar a la exposición de más de 166,000 resultados de pruebas COVID-19 y datos de identificación personal de pacientes. 

Con precaución

Además de lo señalado, el host comprometido expuso todas las direcciones de correo electrónico de los empleados de Avicena y su correspondencia con otras personas.

Por último, una escalada de privilegios exitosa desde su host (IPKO, uno de los mayores proveedores de telefonía, Internet y cable de Kosovo) podría haber llevado finalmente a comprometer el servidor host y haberse utilizado para pivotar a otros sistemas de IPKO, poniendo en riesgo aún más datos, así como otras empresas y organizaciones. 

Es importante que IPKO lleve a cabo una investigación cibernética completa para comprender plenamente lo que los atacantes pudieron hacer en el host de Avicena comprometido y garantizar que la integridad de los datos de otros clientes de IPKO no se ha visto afectada.

Esperamos que casos como este contribuyan a concienciar tanto a las empresas como a las organizaciones para que traten los datos de identificación personal con mayor seriedad y ayuden a los organismos gubernamentales a tomar medidas más rápidas cuando se denuncien infracciones graves.

Para más detalles técnicos, visite este enlace al blog completo.