.
Uma agência do Reino Unido para médicos autônomos expôs detalhes pessoais relacionados a 3.200 indivíduos por meio de baldes S3 não seguros, que um especialista disse que poderia ser usado para lançar ataques de roubo de identidade ou chantagem.
A Lantum, uma agência médica locum on-line, deixou o armazenamento acessível em seu antigo sistema de back-end, Network Locum, de acordo com os pesquisadores. A Cybernews descobriu o balde Amazon AWS S3, potencialmente expondo 98.000 arquivos relacionados a milhares de indivíduos.
A empresa de análise de segurança monitora vários armazenamentos de blob em nuvem para entender o potencial de configuração incorreta. No processo, descobriu o balde Lantum S3, que estava acessível e indexado em alguns mecanismos de busca IoT. Os analistas disseram que qualquer agente mal-intencionado poderia ter encontrado o repositório de dados pessoais relativos ao período 2014-2016.
“Então, tentamos entrar em contato com Lantum várias vezes sem resposta. Pedimos ajuda ao NCSC e fomos aconselhados a denunciá-lo ao NHS também. No entanto, após várias tentativas, não recebemos resposta”, disseram os pesquisadores. O balde foi fechado quase imediatamente após a publicação.
Os arquivos contêm informações pessoais de médicos de clínica geral que usam seus serviços, incluindo detalhes de passaporte, números de seguro nacional, currículos, documentos médicos, certificados profissionais, detalhes da folha de pagamento e faturas. Lantum disse à Cybernews que cumpria o padrão de segurança ISO27001 e havia sido auditado. A ISO27001 abrange os controles que orientam o armazenamento de dados.
Strong The One ofereceu a Lantum a oportunidade de comentar. De acordo com uma declaração dada ao site de notícias médicas Pulse, um porta-voz da Lantum disse: “Embora esses dados possam ter sido acessíveis a indivíduos não autorizados, atualmente não há indicação de que os dados tenham sido acessados e não há razão para suspeitar que esse seja o caso. .
“Estamos, no entanto, tratando este assunto como uma possível violação de dados e continuaremos em contato com quaisquer indivíduos que possam ser afetados, caso mais informações sejam reveladas por nossas investigações”.
Mas um médico com experiência em tecnologia não se tranquilizou.
Marcus Baw, ex-presidente imediato do Royal College of GPs Health Informatics Group, disse que as informações acessíveis eram pessoalmente sensíveis e poderiam deixar os médicos afetados expostos. “Esses são os tipos de detalhes que você escolheria se quisesse estar em uma posição muito forte para criar uma identidade falsa”, disse ele.
Além do roubo de identidade, havia o perigo de chantagem, pois os registros incluem detalhes de reclamações relacionadas ao órgão regulador do Conselho Médico Geral, muitas das quais podem não ser comprovadas ou vexatórias.
Baw alertou que pode levar anos para que os detalhes ressurjam na forma de campanhas de roubo de identidade depois que os detalhes forem negociados na dark web.
Ele disse que Lantum deve ser capaz de analisar os downloads dos baldes S3 em questão para avaliar se houve alguma atividade incomum e notificar os médicos afetados.
“Eles precisam admitir. Eles precisam entrar em contato com todos os médicos que já se registraram com eles e dizer que estão em risco e descrever a magnitude do risco. Eles podem se oferecer para pagar empresas de subscrição para proteger os afetados contra roubo de identidade”, Baw disse.
Anteriormente conhecido como Network Locum, Lantum renomeado em 2017. Em 2022, a Lantum anunciou recebeu US$ 15 milhões em financiamento da Finch Capital, Piton Capitol, Samos e Cedar-Sinai Hospital. ®
.
