'Uber das enfermeiras': mais de 86 mil prontuários médicos e informações de identificação pessoal expostos por meio de um bucket S3 público

 (websiteplanet.com)
1 pontos por GN⁺ 2025-03-14 | 1 comentários | Compartilhar no WhatsApp

Milhares de registros, incluindo PII, expostos online

  • O banco de dados da ESHYFT, uma empresa de healthtech sediada em Nova Jersey, foi exposto sem proteção por senha. A empresa conecta instituições de saúde e enfermeiras por meio de uma plataforma de aplicativo móvel.
  • O banco de dados exposto continha 86.341 registros, com tamanho total de 108,8 GB. Entre os dados havia fotos de perfil de usuários, logs de escalas de trabalho, licenças profissionais, contratos de trabalho e currículos.
  • Alguns documentos também incluíam registros médicos com diagnósticos, prescrições e informações de tratamento, o que pode violar as normas da HIPAA.
  • O banco de dados aparentemente pertencia à ESHYFT; após a descoberta, a empresa foi notificada, e um mês depois o acesso foi restringido.

O papel e a importância da ESHYFT

  • A ESHYFT oferece uma plataforma móvel que conecta instituições de saúde e enfermeiras, operando em 29 estados.
  • O aplicativo permite que enfermeiras escolham turnos compatíveis com sua agenda e fornece às instituições de saúde profissionais de enfermagem verificados.
  • Foi baixado mais de 50.000 vezes na Google Play Store.

Os riscos da exposição de dados pessoais

  • A exposição de informações de identificação pessoal (PII), dados salariais e histórico de trabalho pode criar riscos e vulnerabilidades graves tanto para indivíduos quanto para empregadores.
  • Quando combinadas com informações como documentos de identidade e endereços, essas informações podem permitir que criminosos cibernéticos cometam roubo de identidade ou fraude financeira.
  • As informações expostas podem ser exploradas em campanhas de phishing, induzindo as vítimas a fornecer mais dados pessoais ou financeiros.

Recomendações para reforçar a segurança

  • Empresas de healthtech e fornecedores de software médico devem adotar medidas proativas de cibersegurança para proteger dados e evitar acessos não autorizados.
  • É necessário exigir protocolos de criptografia para dados sensíveis e realizar auditorias de segurança regulares na infraestrutura interna.
  • Dados sensíveis devem ser anonimizados sempre que possível, e os dados não utilizados devem ter datas de expiração definidas para limitar seu armazenamento.
  • Deve-se exigir autenticação multifator (MFA) para que o acesso não seja fácil mesmo se as credenciais do usuário forem expostas.
  • Também é preciso preparar um plano de resposta a vazamentos de dados e canais de comunicação dedicados para relatar incidentes de segurança.

Conclusão

  • Em caso de vazamento de dados, deve-se fornecer rapidamente um aviso responsável a todas as pessoas potencialmente afetadas.
  • Os usuários devem ser instruídos sobre como reconhecer tentativas de phishing, o que beneficia tanto os prestadores de serviço quanto os próprios usuários.
  • Este relatório foi elaborado para fins educacionais e não reflete comprometimento real da integridade dos dados.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-03-14
Comentários do Hacker News
  • Ouvi falar recentemente de uma empresa que, antes de oferecer trabalho, verifica o nível de endividamento de uma pessoa por meio do relatório de crédito e, com base nisso, reduz sua taxa por hora
    • Se houver consequências negativas para esse tipo de violação, eles merecem pagar caro por isso
  • Na seção de segurança de dados da política de privacidade deles, está escrito o seguinte
    • Usamos certas salvaguardas físicas, administrativas e técnicas para melhorar a integridade e a segurança das informações que coletamos e mantemos
    • Nenhuma medida de segurança é perfeita ou impenetrável
    • Não foi projetado para armazenar ou proteger informações que possam ser consideradas informações de saúde protegidas, conforme definido pela HIPAA
    • Fico em dúvida se eles podem escapar da responsabilidade com a desculpa de que o sistema não foi projetado para estar em conformidade com a HIPAA
  • As pessoas ficam confusas por causa do nível de autoridade dos profissionais de saúde
    • Nunca se deve fornecer o número do seguro social a médicos ou hospitais
    • Quando pedem verificação de identidade, isso não significa escanear ou tirar foto do documento
    • Médicos e hospitais são extremamente fracos em segurança da informação
  • O setor de saúde, no geral, tem muitos problemas
    • Hospitais baratos e de propriedade corporativa não contratam enfermeiros como funcionários fixos
    • O baixo custo levou os hospitais a esse app, e é possível que tenham oferecido rebates aos gestores que o aprovaram
    • A ESHYFT deveria falir, mas provavelmente nada vai acontecer
  • Fico curioso sobre há quanto tempo esse bucket do S3 existe
    • A AWS passou a definir novos buckets do S3 como privados por padrão
    • Pode ser algo antigo, ou talvez tenham aberto de forma irresponsável porque não conseguiam fazer upload/download de arquivos no app/serviço móvel
  • Fico pensando se faz sentido culpar a AWS
    • Os procedimentos de segurança usados ao hackear às 3 da manhã para os amigos não se aplicam a um produto que hospeda PII
    • Implementar a segurança básica dos dados cabe ao usuário
  • Fico pensando por que usaram a expressão "Uber para enfermeiros" em vez de colocar o nome real da empresa no título
  • Fico pensando se ainda estamos fingindo que órgãos reguladores minimamente funcionais podem tomar alguma medida sobre isso
  • Trabalhei em health tech, e isso é um problema muito sério
    • Você pode ser multado por cada prontuário de paciente, e isso não sai barato
    • Isso vai para o "muro da vergonha", e as pessoas com quem você poderá negociar no futuro verão isso
    • Se você errar, pode ser responsabilizado pessoalmente
    • No meu emprego anterior, garantíamos que a PII nunca trafegasse pela API e a armazenávamos em uma VPS separada de todo o sistema
    • Quando um registro era necessário, nós o colocávamos em um bucket do S3 e fornecíamos um link temporário acessível apenas ao solicitante
    • Dá muito trabalho, mas eu conseguia dormir tranquilo
  • Li um artigo acadêmico dizendo que as profissões que exigem paixão são as mais mal pagas e sobrecarregadas
    • Ex.: professores, enfermeiros, músicos, atletas