Ancora un leak, questa volta riguardante dati clinici e prescrizioni mediche: i ricercatori di SpiderSilk hanno scovato in Rete un database non protetto da alcuna password né metodo crittografico, liberamente accessibile da chiunque, contenente documenti inviati via fax attraverso un software sviluppato dal team californiano Meditab. Al suo interno sono stati rinvenuti annotazioni, ricette, appunti su patologie e trattamenti, con tanto di nomi e indirizzi completi dei diretti interessati riportati in chiaro, anche relativi a minori.
Leak: esposti milioni di referti medici
Un paio di esempi sono quelli allegati di seguito: si tratta dei referti di visite mediche con tanto di parametri vitali e sintomi dei disturbi manifestati. I documenti sono quelli scambiati da ospedali, ambulatori e farmacie mediante l’applicativo citato poc’anzi. L’archivio è stato creato nel marzo 2018 e arricchito nei mesi successivi fino a ospitare oltre sei milioni di record. Non è chiaro per quanto tempo sia rimasto accessibile pubblicamente.
A ospitarlo un server legato a un sottodominio di MedPharm Services, realtà con sede a Porto Rico affiliata a Meditab. Questa la dichiarazione affidata da Angel Marrero, consigliere generale dell’azienda, alla redazione del sito TechCrunch.
Siamo ancora indagando i nostri log e registri per valutare la portata di un’eventuale esposizione dei dati.
Sia Meditab sia MedPharm Services, entrambe fondate da Kalpesh Patel, affermano di operare in piena conformità a quanto previsto dalla normativa HIPAA (Health Insurance Portability and Accountability Act) che definisce le modalità di trattamento delle informazioni mediche riguardanti i pazienti, al fine di garantirne la tutela e la sicurezza.
Curiosamente, Meditab nei giorni scorsi ha condiviso sul proprio blog ufficiale un intervento in merito agli accorgimenti da adottare per mettersi al sicuro dai ransomware e sui social un post in cui viene spiegato come l’azienda impiega i propri dati per migliorare la qualità del servizio offerto ai pazienti. Nessun riferimento invece al leak del database.