Información personal de al menos 16 millones de brasileños diagnosticados como positivos o sospechosos de COVID-19 quedaron expuestos en Internet durante aproximadamente un mes. La filtración se produjo luego de que un funcionario del Hospital Albert Einstein de San Pablo subiera a GitHub un documento que contenía nombres de usuarios y contraseñas para acceder a una base de datos de personas que fueron testeadas, diagnosticadas y en algunos casos internadas por coronavirus, y que forma parte de un proyecto con el Ministerio de Salud (del que forma parte el hospital) llamado PROADI-SUS, el cual tiene como objetivo realizar análisis predictivos sobre la pandemia.
Quienes tuvieran en su poder estas credenciales podían acceder a dos bases de datos federales, E-SUS-VE y Sivep-Gripe, las cuales contienen registros de personas sospechosas, diagnosticados o internadas por COVID-19. Además de información confidencial y sensible de las personas, como nombres, CPF, direcciones, estas bases de datos contenían detalles de la historia clínica de las personas, como problemas de salud o diagnósticos previos.
La brecha fue reportada por “O Estado de S.Paulo”, un medio local que tuvo acceso a esta información y corroboró de primera mano que las credenciales permitían acceder a información sensible, entre las cuales figuraban pacientes como el propio presidente de Brasil, Jair Bolsonaro, además de otros miembros del gobierno que públicamente habían confirmado su diagnóstico o la sospecha del mismo.
Según explicó el funcionario del hospital al medio, la razón por la que subió esta planilla a GitHub era para realizar una prueba de implementación, pero luego se olvidó de borrar el documento del repositorio.
En un comunicado de prensa publicado por el hospital, la institución dice haber tomado conocimiento de lo que ocurrió cuando “un colaborador contratado para prestar servicios al Ministerio de Salud había archivado información de acceso a determinados sistemas sin la protección adecuada”. Asimismo, la nota asegura que la información fue removida inmediatamente y que se reportó lo que ocurrió al Ministerio de Salud para que se lleven adelante las medidas correspondientes para asegurar la protección de la información.
En tanto, el Ministerio de Salud informó que el Departamento de Informática de SUS (DataSUS) revocó los accesos para los nombres de usuario y contraseñas que estaban incluidos en la planilla que se subió de forma pública, afirmó el portal G1 del Grupo Globo.
Por su parte, en un comunicado del ministerio, la institución asegura que, si bien las credenciales filtradas no permiten el acceso directo a la información personal y que se necesitan de otros factores técnicos para llegar a los datos, están monitoreando la web ante la posibilidad de que la información expuesta pueda ser replicada en algún sitio.
¿Qué puede hacer un actor malicioso con la información filtrada?
Lamentablemente, con frecuencia se conocen casos tanto de exposición de datos debido a errores de configuración o como consecuencia de un acceso indebido a un sistema. Sin ir más lejos, y por nombrar apenas un ejemplo, este mes publicamos acerca de la exposición de datos sensibles de millones de huéspedes de hoteles a nivel global debido a un error de configuración de un servidor en la nube. Además de la importancia de generar conciencia sobre la importancia de revisar las configuraciones y auditar la seguridad y privacidad de la información que contienen las organizaciones —y también los usuarios en sus cuentas—, es importante conocer las consecuencias posteriores a las filtraciones, como los ataques de phishing u otro tipo de ataque de ingeniería social que haga uso de esta información.
Como hemos mencionado anteriormente, suele suceder que los actores maliciosos publican en sitios de la dark web información sensible de usuarios que luego comparten o comercializan para que otros actores maliciosos realicen campañas para robar más información o incluso para comprometer a los usuarios con malware. Por lo tanto, aquellos que pueden haber sido parte de estas más de 16 millones de personas que se vieron involucradas en esta masiva exposición de información, recomendamos que estén atentos en el futuro ante posibles correos de phishing que se hagan pasar por alguna empresa u organización y que incluyan información personal para hacerles creer que se trata de correos legítimos.