Серьезная уязвимость в безопасности подвергла риску информацию, содержащую высоко чувствительные данные более 8 тысяч пациентов и сотрудников компании Paz Mental, занимающейся уходом и реабилитацией пожилых людей и работающей в различных штатах Мексики.
Уязвимость, о которой сообщил исследователь в области кибербезопасности JayeLTee с декабря 2024 года, до сих пор не была устранена, оставив 67 ГБ клинических записей, личных и финансовых данных в доступе для потенциальных киберпреступников. После нескольких недель неудачных попыток связаться с компанией и предупредить о проблеме — в основном из-за того, что данные были доступны публично — JayeLTee уведомил Publimetro México, который подтвердил утечку данных, чтобы убедиться в серьезности инцидента.
Утечка информации включает в себя клинические и личные данные тысяч людей, среди которых: - Полные медицинские истории. - Личные данные пациентов. - Записи медицинских решений. - Информация о иностранных пациентах. - Информация о партнерских компаниях. - Фотографии медицинских инцидентов. - Финансовые записи. - Отсканированные удостоверения личности. - Данные медицинских работников и медсестер. - Трудовая информация персонала. - Фотографии персонала. - Отчеты о наблюдении за пациентами. - Частичная банковская информация.
"Реальная угроза: риск мошенничества, вымогательства и использования чужой личности. Доступ к такому объему чувствительной информации является постоянной угрозой. Я не могу больше ждать, эта информация под угрозой и нуждается в защите, прежде чем станет слишком поздно", — отметил JayeLTee в сообщении к Publimetro México.
Исследователь подозревает, что утечка данных может быть связана с цифровыми платформами, используемыми Paz Mental. Среди находок есть упоминания о приложениях Asistia Nurse и Ana Care, доступных в Play Store. Кроме того, нарушение норм, таких как Общий закон о защите персональных данных и NOM-024-SSA3-2012, может повлечь за собой юридические и финансовые санкции, объяснил Виктор Руис, сертифицированный инструктор по кибербезопасности и основатель SILIKN.
Виктор Руис предостерег, что репутационные потери и утрата доверия к службам здравоохранения также являются серьезными последствиями: "Несмотря на то, что эти уязвимости были зафиксированы в некоторых случаях, отсутствие корректирующих действий подвергает пациентов и профессионалов высокому риску".
С декабря 2024 года JayeLTee безуспешно пытался сообщить о уязвимости в различные инстанции, включая официальные почты Paz Mental, компании по кибербезопасности и государственные органы. Тем не менее, жалобы были проигнорированы, и не было получено удовлетворительного ответа. Эксперты в области кибербезопасности предупредили о риске, что такие утечки могут быть использованы преступными группами для совершения преступлений, таких как вымогательство и использование чужой личности. Отсутствие защиты на серверах может привести к краже медицинских данных, мошенничеству и поставить под угрозу медицинское обслуживание, что предполагает возможную утечку из-за неправильного управления базами данных.
