The Hack inaugura, este martes (19), el nuevo marco Queja del lector, cuyo objetivo es publicar los hallazgos de nuestros lectores con respecto a las fugas de datos y las vulnerabilidades en sistemas, aplicaciones y software. Para este debut, la alerta es para clientes de MAIS Medicina Diagnóstica, clínica médica especializada en exámenes de imagen y ubicada en la ciudad de Vitória, Espírito Santo.
- ¿También tienes una queja que presentar a The Hack? Escribir a [email protected]. La confidencialidad de su identidad está garantizada.
Según una fuente que optó por no identificarse, el sistema utilizado por la empresa para almacenar y proporcionar los resultados escaneados de los exámenes a sus pacientes no requiere autenticación; solo el sitio web “principal” de la clínica solicita una contraseña de inicio de sesión. Dicho esto, el dominio en el que se encuentran los archivos confidenciales puede ser atacado de dos formas para extraer información sensible: explotación IDOR e inyección SQL (SQLi).
IDOR, abreviatura de Insecure Direct Object Reference, es una falla que ocurre cuando un sistema web utiliza una secuencia numérica predecible para devolver información o documentoso – por ejemplo, si está viendo su factura en la URL www.banco.com/fatura?id=121, posiblemente podrá acceder a la factura de otro cliente aleatorio cambiando el identificador y accediendo www.banco.com/fatura?id=120.
La inyección SQL aprovecha fallas en la comunicación entre la aplicación web y su base de datos a través del Lenguaje Estructurado de Consulta (SQL), que es el lenguaje utilizado para leer, actualizar, agregar y eliminar información de esta base de datos. Un atacante puede utilizar tal laguna para acceder a toda la base de datos en cuestión, pudiendo eliminar registros o crear una copia de toda la información en su computadora local.
En ambos casos, el riesgo es el mismo: la exposición indebida de datos médicos, algo que puede generar sanciones y multas para MAIS Medicina Diagnóstica en los términos de la Ley General de Protección de Datos (LGPD). Por mucho que todo indique que el sistema vulnerable está subcontratado, la responsabilidad aún puede recaer en la clínica por no haber realizado un paso previo para analizar la seguridad de su proveedor.
The Hack se puso en contacto con MAIS Medicina Diagnóstica y está esperando la respuesta de la empresa. Si es así, actualizaremos este artículo.
See the original post at: https://thehack.com.br/denuncia-clinica-medica-do-es-expoe-exames-medicos-por-idor-e-sqli/?rand=48889
