Una base de datos de MongoDB que contenía información médica de más de 2 millones de pacientes en México ha sido expuesta en Internet. Los datos expuestos incluyen nombres, sexo, fechas de nacimiento, información del seguro social, estado de salud y direcciones de las personas afectadas.
Bob Diachenko, investigador de seguridad informática, fue el primero en descubrir la base de datos, que fue indexada por el buscador Shodan para Internet de las Cosas (IoT) y expuesta completamente en Internet. Al parecer, cualquiera pudo acceder a la información y editarla sin tener una contraseña.
Cuando Diachenko analizó la base de datos identificó que Hova Health, una compañía médica centrada en servicios de software y teleradiología para el sector médico, era la propietaria de la información. En este sentido, encontró los campos que contenían las direcciones de correo electrónico del administrador, y notificó el problema. Según el investigador, la respuesta recibida desde dicho correo fue la siguiente:
Todas las áreas que trabajan en este proyecto están revisando qué fue lo que sucedió exactamente y revisando toda nuestra infraestructura para evitar este tipo de eventos.
A pesar de que las entradas de la base de datos daban fe de qué personas la administraban, el investigador aseguró que nunca confirmaron que dicha información era de su propiedad. En este sentido, Diachenko considera que no se sabe con exactitud a quién pertenecen estos datos.
Las bases de datos de MongoDB expuestas en línea no son un tema nuevo, y ante el continuo despliegue de ataques de ransomware al sector de la salud, lo recomendable para estas compañías es seguir las mejores prácticas de seguridad a fin de proteger su información sensible y la de sus usuarios.
Desde el año 2013 son conocidos los problemas de seguridad con las bases de datos de MongoDB. Esta empresa ha hecho lo propio actualizando su software y publicando sus pautas de seguridad, sin embargo, luego de 5 años, la protección de estas bases de datos de está garantizada.
