Brecha de seguridad en Innovahealthy.co: Datos sensibles de salud al descubierto
Andrés Pérez* buscó su número celular usando Google y se llevó una gran sorpresa. En los primeros resultados encontró un documento en formato CSV que exponía públicamente su nombre, teléfono, número de cédula, EPS y la hora y lugar de una cita médica que tuvo.
Entendiendo que sus datos personales están indexados en Google, siguió indagando acerca de quién podría haber publicado esta información y encontró una relación entre sus datos y la empresa https://innovahealthy.co.
Al observar la situación se comunicó con MuchoHacker.lol para contar el problema. Una vez nos contó hicimos un proceso de verificación y el día 22 de abril a las 12:14 le informamos a [email protected] sobre la exposición de datos privados.
Evidencias: Api expuesta públicamente
Una simple búsqueda permite llegar a una URL donde está alojada gran parte de la información. Esta URL tiene varias carpetas a las que se puede acceder sin ningún tipo de restricción.
La carpeta “upload” tiene 2633 archivos en formato CSV. Algunos de ellos contienen la información de cientos de personas.
Para entender la dimensión de la vulnerabilidad se seleccionó un archivo aleatorio terminado en 1107. Este archivo tiene la fecha, hora, número de cédula, nombre, teléfono, tipo de especialidad médica, entidad y sede.
Con el acceso a esta información se puede saber que una señora Gloria, visitó el especialista de Ginecología el 13 de marzo de 2024. Gloria pertenece a Capital Salud, y visitó una sede probablemente en el centro comercial el Puente.
En solo este documento se observan 71 datos de personas afectadas. Otro de los documentos analizados muestra 199 casos. En solo dos archivos 271 datos de usuarios expuestos sin ningún tipo de restricción.
Dentro de los documentos expuestos incluso se pueden observar datos privados referentes a historial médico. Por ejemplo el 12 de marzo a una persona llamada Camilo se realizó una ecografía testicular con análisis de doppler. Su EPS: salud Total
Información a la venta
El 7 de octubre un actor malicioso llamado HorseFucker publicó un archivo con 114.575 datos relacionados a Innovahealthy.co en un foro donde se comercia y se comparte información robada.
La información publicada va acompañada de un ejemplo de datos y el bruto de los datos se cambia para obtener créditos dentro del portal. Quien pueda pagar 8 créditos puede acceder a las 114.575 datos.
No es el primer caso
El pasado mes de Marzo un analista de seguridad se comunicó con MuchoHacker.lol para advertir sobre una situación similar con la empresa ADOM.
Un funcionario de la empresa que se comunicó de forma anónima indicó que los directivos de la organización se enteraron del post pero las personas encargadas de tecnología la calificaron de “fake News” pese a las evidencias mostradas.
Este caso de Innovahealhty muestra un patrón que podría presentarte en varias entidades de salud.