Seguridad

2,7 millones de grabaciones de pacientes suecos expuestas en un servidor web sin contraseña

El servidor web, que no requería ningún tipo de autenticación, permitía descargar llamadas que se remontaban al año 2013. También se mostraban 57.000 números de teléfono de los pacientes.

575057423

Medicall, a través de su servicio MedHelp, ofrece a los pacientes suecos de las zonas de Estocolmo, Södermanland y Värmland el número de atención telefónica 1177 para resolver sus dudas médicas sin necesidad de desplazarse a una consulta. Estas llamadas de carácter personal, se han encontrado disponibles por cualquiera que conociese la url de acceso (http://188.92.248.19:443/medicall/), la cual ya no está disponible.

Según ha podido comprobar Lars Dobos de IDG, el sitio web organizaba las grabaciones por fecha, y mostraba en el título de los ficheros el número del teléfono del paciente, lo cual permitía identificarlos. En las grabaciones no sólo se describían síntomas tanto de adultos como de niños, sino también datos personales como su número de la seguridad social.

Aunque el servicio era prestado por Medicall, una empresa de Tailandia pero con dueños suecos, las grabaciones eran almacenadas en Biz 2.0, un servicio en la nube para centralitas de llamadas desarrollado por la sueca Voice Integrate Nordic AB.

Al ser consultado Tommy Ekström, CEO de la empresa, éste ha lamentado los ocurrido y ha asegurado que investigará los hechos. Según él, muchas partes del servicio se encontraban externalizadas a otras empresas.

Pese a que la externalización es cada vez más común en este tipo de servicios y no tiene por qué ser más inseguro, es importante exigir a las empresas que realizan este trabajo auditorias periódicas tanto de sus productos como de sus infraestructuras.

Fuente:

2.7 million recorded calls to the 1177 Care Guide completely unprotected on the internet:
https://computersweden.idg.se/2.2683/1.714787/inspelade-samtal-1177-vardguiden-oskyddade-internet

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.