Hlavní navigace

Medcall Advisors ukládali data pacientů na nezabezpečený cloud

Petr Kajzar

Bezpečnostní tým UpGuard objevil nezabezpečené úložiště dokumentů a záznamů telefonních hovorů od firmy Medcall Advisors. Medcall Advisors se zabývají poskytováním pomoci (ve formě audio nebo video hovorů) pacientům s akutními příznaky nebo akutním úrazem.

Všechny nalezené dokumenty obsahovaly citlivá data pacientů včetně kontaktních údajů, anamnéz, lékařských záznamů, vyplněných dotazníků i záznamů telefonních hovorů na linku pomoci. Součástí byly PDF soubory se zdravotními zprávami, WAV a MP3 záznamy hovorů pacientů a CSV soubory s kontaktními údaji na pacienty.

Úložiště bylo umístěno na službě Amazon S3 Buckets a nejenže byly záznamy dostupné ke čtení, ale byly také volně editovatelné. Access control list (ACL) měla firma nastavený tak, že umožňoval i anonymním uživatelům kompletní správu souborů ( Everyone - FULL_CONTROL).

Firma Medcall Advisors po upozornění chybu napravila, ale k potenciálnímu úniku dat nevydala žádnou veřejnou informaci ani neodpověděla na zprávu výzkumníkům z firmy UpGuard, kteří na chybu upozornili.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?