Misconfigurations - Capítulo 7: Una Base de datos mal configurada expuso 66.000 archivos de la Empresa de soluciones digitales en salud IMED.

La empresa de tecnología de la información IMED, que desarrolla soluciones digitales en salud, expuso un MongoDB que inicialmente contenía cerca de 396,000 archivos. Sin embargo, estos archivos fueron borrados gradualmente, quedando expuestos 66,000 archivos PDF codificados en base64, tales como: formulario de constancia información al paciente GES, autorización para tratamientos de datos personales y sensibles, Declaración de Salud Formulario Unico de notificación, Formularios de consentimiento para procedimientos médicos.

Capítulo 7:

Terminando el mes de junio, fui contactado por un investigador independiente, quien nos divulgó sobre una exposición de datos en un MongoDB. El investigador Jay dijo lo siguiente:

“It's a MongoDB IP, exposed on shodan, it's a database but most of it was ~396k documents base64 encoded pdf files (someone removed a lot of it now only ~66k exposed)”

Traducción:

“Es una IP de MongoDB, expuesta en shodan, es una base de datos pero la mayor parte eran ~396k documentos, archivos PDF codificados en base64 (alguien eliminó una gran parte, ahora solo están expuestos ~66k)”

Image: Muestra la Página del imed.cl con algunos de sus clientes, esta entidad tenía un MongoDB expuesto con 66.000 documentos.

Observando la base de datos habían 9 usuarios pertenecientes a IMED que es una empresa de tecnología de la información, y en su linkedin se describe como “Somos una empresa del futuro, los primeros en conectar a todas las personas en sus atenciones de salud”, Por supuesto, también miré su página, la cual indica que tienen varios clientes en el sector salud como Colmena, Bupa, MetLife, etc.

Image: Muestra el MongoDB disponible en Junio, en la sección llamada Medsign se exponían documentos codificados en base64.

IMED ofrece los siguientes servicios:

• Medsign, Una firma digital, rápida y segura.
• Medbenefits, Administra fácilmente los seguros de salud de tus beneficiarios.
• Medpay, Tu nueva forma de pago en salud.
• Imedpass, La nueva forma de autorizar tus documentos de salud.
• Gestor paciente, Identifica a pacientes en la red de salud pública.

Verifiqué que el MongoDB seguía activo, tal como me indicó el investigador. Observé que algunos de los 66,000 archivos disponibles estaban codificados en base64, pero con un simple descodificador de base64 en PDF, podía ver y descargar el archivo.

Un verdadero descuido que el MongoDB esté expuesto y que además se pueda descargar tan fácilmente la información de otras personas. Abajo, una muestra de los documentos descargados.

Image: la primera imagen muestra un formulario de constancia paciente GES, la Segunda Imagen muestra un formulario unico de notificación: rut, nombre, correo, telefono, dirección expuesta en algunos de estos documentos.

Con esto ya verificado, contacté por correo el 9 de julio a esta entidad, describiendo que un investigador me divulgó y me encargó contactarles por la mala configuración de su MongoDB, ya que esto exponía en ese momento 66,000 archivos y documentación, tales como: formulario de constancia información al paciente GES, autorización para tratamientos de datos personales y sensibles, Declaración de Salud Formulario Unico de notificación, Formularios de consentimiento para procedimientos médicos.

Sin respuesta y menos bloqueado envie nuevamente un correo el 17 de julio indicando que se estaba exponiendo un MongoDB, en dos días después esto fue bloqueado, pero cuando tiempo estuvo esto expuesto, no lo sabemos, pero hay que cuidar los datos digitales en salud de las personas.

⚠️Advertencia⚠️: Estos datos podrían haber sido descargados por diversas terceras personas e incluso podrían haber sido revendidos en foros de hacking.

Agradecer al investigador por compartir su hallazgo conmigo,

Thank you Jay for sharing with me.

Fuente: https://newschu.substack.com/p/misconfigurations-capitulo-7-una