Datos y privacidad.

Brecha de seguridad en Innovahealthy.co: Datos sensibles de salud al descubierto

Andrés Pérez* buscó su número celular usando Google y se llevó una gran sorpresa. En los primeros resultados encontró un documento en formato CSV que exponía públicamente su nombre, teléfono, número de cédula, EPS y la hora y lugar de una cita médica que tuvo. 

Entendiendo que sus datos personales están indexados en Google, siguió indagando acerca de quién podría haber publicado esta información y encontró una relación entre sus datos y la empresa https://innovahealthy.co.

Al observar la situación se comunicó con MuchoHacker.lol para contar el problema. Una vez nos contó hicimos un proceso de verificación y el día 22 de abril a las 12:14 le informamos a [email protected] sobre la exposición de datos privados.

Evidencias: Api expuesta públicamente

Una simple búsqueda permite llegar a una URL donde está alojada gran parte de la información.  Esta URL tiene varias carpetas a las que se puede acceder sin ningún tipo de restricción.

El acceso a la API del portal no tiene ningún tipo de seguridad y ubicarlo en dominio de la empresa es una tarea sencilla que cualquier persona sin conocimiento técnico podría hacer. Pantallazo tomado 22 de abril a las 2:11 p.m

La carpeta “upload” tiene 2633 archivos en formato CSV. Algunos de ellos contienen la información de cientos de personas. 

Análisis de datos expuestos trasladados a un Excel. 2633 filas contiene la carpeta expuesta. Pantallazo tomado 22 de abril a las 2:11 p.m
Archivo original. El acceso al Api del portal alberga documentos en formato CSV. Pantallazo tomado 22 de abril a las 2:11 p.m

Para entender la dimensión de la vulnerabilidad se seleccionó un archivo aleatorio terminado en 1107. Este archivo tiene la fecha, hora, número de cédula, nombre, teléfono, tipo de especialidad médica, entidad  y sede. 

Con el acceso a esta información se puede saber que una señora Gloria, visitó el especialista de Ginecología el 13 de marzo de 2024. Gloria pertenece a Capital Salud, y visitó una sede probablemente en el centro comercial el Puente.  

En solo este documento se observan 71 datos de personas afectadas. Otro de los documentos analizados muestra 199 casos. En solo dos archivos 271 datos de usuarios expuestos sin ningún tipo de restricción. 

Acceso a cientos de datos privados de clientes cuya información está alojada en https://innovahealthy.co

Dentro de los documentos expuestos incluso se pueden observar datos privados referentes a historial médico.  Por ejemplo el 12 de marzo a una persona llamada Camilo se realizó una ecografía testicular con análisis de doppler.  Su EPS: salud Total

Información a la venta

El 7 de octubre un actor malicioso llamado HorseFucker publicó un archivo con 114.575 datos relacionados a Innovahealthy.co en un foro donde se comercia y se comparte información robada. 

Evidencia que muestra como se canjea la información de clientes en un foro donde se comercializa ilegalmente bases de datos.

La información publicada va acompañada de un ejemplo de datos y el bruto de los datos se cambia para obtener créditos dentro del portal.  Quien pueda pagar 8 créditos puede acceder a las 114.575 datos. 

No es el primer caso

El pasado mes de Marzo un analista de seguridad se comunicó con MuchoHacker.lol para advertir sobre una situación similar con la empresa ADOM

Un funcionario de la empresa que se comunicó de forma anónima indicó que los directivos de la organización se enteraron del post pero las personas encargadas de tecnología la calificaron de “fake News” pese a las evidencias mostradas. 

Este caso de Innovahealhty muestra un patrón que podría presentarte en varias entidades de salud. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *