
Miles de registros de salud expuestos en línea, incluyendo información privada de pacientes.
Se informa que ESHYFT mantuvo una extensa base de datos sin protección por contraseña.
Un investigador de seguridad ha encontrado una base de datos online que no estaba protegida por contraseña, lo que exponía información personal y datos médicos de manera significativa. Esta base de datos pertenecía a ESHYFT, una plataforma tecnológica enfocada en conectar enfermeras con turnos de trabajo en instalaciones de cuidados a largo plazo en los Estados Unidos.
Jeremiah Fowler, el investigador que descubrió la base de datos, indicó que esta contenía un total de 86,341 registros y ocupaba más de 100 GB en espacio. En ella se podían encontrar datos sensibles como nombres, identificaciones y reportes médicos, entre otros. ESHYFT, por su parte, ofrece oportunidades laborales flexibles para profesionales de la salud, además de ser una solución confiable de suministro de personal para las instalaciones.
Hasta el momento, no se ha confirmado cuánto tiempo estuvo la base de datos expuesta ni si actores maliciosos accedieron a ella antes que Fowler. También permanece en el aire si ESHYFT es responsable del manejo de la base de datos o si esta fue subcontratada a una entidad externa.
El investigador señaló que en una muestra limitada de los documentos expuestos, se encontraban perfiles o imágenes de los usuarios, archivos .csv con registros de horarios laborales mensuales, certificados profesionales, acuerdos de asignación de trabajo y currículums que contenían información personal. En particular, un documento de hoja de cálculo contenía más de 800,000 entradas con detalles sobre identificaciones internas de enfermeras, nombres de las instalaciones, horarios de turnos y horas trabajadas, entre otros datos.
Fowler también observó documentos médicos que parecían haber sido subidos a la aplicación, posiblemente como justificación de ausencias o licencias médicas. Estos archivos incluían reportes médicos que contemplaban diagnósticos, prescripciones o tratamientos, los cuales podrían estar bajo la regulación de HIPAA.
Después de informar sobre estos hallazgos a ESHYFT, la firma logró restringir el acceso a la base de datos un mes después, asegurando que estaban "investigando activamente y trabajando en una solución".