.
Um banco de dados sem senha contendo cerca de 1,3 milhão de conjuntos de registros holandeses de testes de COVID-19 foi deixado exposto à Internet aberta e não está claro se alguém está assumindo a responsabilidade.
Entre as informações reveladas no banco de dados acessível ao público e aparentemente configurado de forma insegura estavam 118.441 certificados de testes de coronavírus, 506.663 registros de consultas, 660.173 amostras de testes e “um pequeno número” de arquivos internos. Um conjunto de informações de identificação pessoal foi incluída nos registros – incluindo nomes de pacientes, datas de nascimento, números de passaporte, endereços de e-mail e outras informações.
O banco de dados vazado foi descoberto pelo perene farejador de violações Jeremiah Fowler, que considerou que pertence a um dos maiores fornecedores comerciais de testes COVID-19 da Holanda, CoronaLab – uma subsidiária da Microbe & Lab, com sede em Amsterdã. A Embaixada dos EUA na Holanda lista o CoronaLab como um dos fornecedores comerciais de testes COVID-19 recomendados no país.
Se alguém com intenções maliciosas conseguisse encontrar o banco de dados, poderia causar sérios danos, alertou Fowler.
“Criminoso[s] poderia potencialmente fazer referência a datas de testes, locais ou outras informações privilegiadas que apenas o paciente e o laboratório saberiam”, escreveu ele. “Qualquer exposição potencial envolvendo dados de testes COVID combinados com PII poderia potencialmente comprometer a privacidade pessoal e médica dos indivíduos listados em os documentos.”
A parte responsável poderia, por favor, se levantar?
O relatório de exposição de dados do CoronaLab é semelhante a qualquer outra notícia sobre exposição acidental de dados: foi encontrado e agora o banco de dados ofensivo está offline. Mas este não é tão simples.
De acordo com Fowler, ninguém no CoronaLab ou no Microbe & Lab respondeu às suas repetidas tentativas de contatá-los e informá-los sobre a exposição.
“Enviei vários avisos de divulgação responsável e não recebi nenhuma resposta, e vários telefonemas também não produziram resultados”, afirmou Fowler. “O banco de dados permaneceu aberto por quase três semanas antes de eu entrar em contato com o provedor de hospedagem em nuvem e finalmente ser protegido contra acesso público.”
Strong The One pediu à Microbe & Lab para obter mais informações sobre o incidente – e também não recebemos resposta.
Sem mais informações da Microbe & Lab ou do próprio CoronaLab, é impossível saber por quanto tempo o banco de dados ficou realmente exposto online. O site CoronaLab está fora do ar no momento em que este livro foi escrito – não está claro se a interrupção está relacionada à exposição do banco de dados ou se o serviço será colocado online novamente.
Como ninguém na organização cujos registos foram expostos pode ser contactado, também não está claro se os clientes ou pacientes têm conhecimento de que os seus dados foram expostos online. Também não sabemos, o que é importante, se as autoridades europeias de protecção de dados foram informadas.
De acordo com o artigo 33 do Regulamento Geral de Proteção de Dados da UE (GDPR), as violações de dados devem ser comunicadas às autoridades locais dentro de 72 horas após a detecção, e as notificações também devem ser feitas aos indivíduos afetados. Entramos em contato com a Autoridade Holandesa de Proteção de Dados para saber se ela havia sido notificada sobre a exposição de dados do CoronaLab e não obtivemos resposta imediata.
Em 29 de janeiro, recebemos uma resposta de um porta-voz da Coronalab que nos disse: “Em resposta a um relatório externo de um pesquisador de segurança, iniciamos imediatamente uma investigação e descobrimos que foi obtido acesso ilegal a um backup de dados através de um antigo fornecedor de TI. Foram tomadas medidas imediatas e um relatório foi feito à Autoridade Holandesa de Proteção de Dados e estamos atualmente notificando aqueles que podem ser afetados com uma explicação do que aconteceu, quais ações tomamos e as possíveis consequências para eles. situação e estão a implementar medidas ainda mais rigorosas sobre os actuais fornecedores de TI, para que cumpram os acordos celebrados e este tipo de incidentes sejam evitados no futuro.”
Eles acrescentaram: “Atualmente não temos conhecimento de qualquer uso indevido dos dados expostos. Nosso site coronalab está fora do ar desde o ano passado, quando paramos de testar o COVID, esta é também a razão pela qual os e-mails enviados para este endereço de e-mail não foram lidos nem respondi pela última vez.” ®
.
