Según un investigador de seguridad de AppOmni, el Ejecutivo del Servicio de Salud de Irlanda (HSE) expuso accidentalmente información de salud protegida y datos personales de más de un millón de ciudadanos irlandeses durante la pandemia de COVID.
Esta información incluía el estado de vacunación de las personas y el tipo recibido, a la que podría haber accedido cualquier persona que se registrara en el Portal de vacunación HSE COVID antes de finales de 2021.
La mala configuración en el portal también hizo que los documentos internos de HSE estuvieran disponibles públicamente, reveló Aaron Costello, ingeniero principal de seguridad SaaS en AppOmni, en un blog con fecha del 14 de marzo de 2024.
La información personal y de salud expuesta incluyó:
- Nombre completo
- Fecha de cita de vacunación (pasado/presente/futuro)
- Lugar de la cita de vacunación
- Lugar de administración de la vacuna (cómo se inyectó la vacuna)
- Razón para administrar la vacuna
- Motivo del rechazo de la administración de la vacuna.
- Tipo de vacuna (marca/lote (lote) número/dosis
Costello descubrió el problema en diciembre de 2021 y HSE le confirmó que se había solucionado el 17 de enero de 2022.
No hay evidencia de que personas no autorizadas con intenciones maliciosas hayan accedido a la información.
Costello explicó que decidió hacer público el tema para ayudar a educar a las organizaciones sobre los riesgos de manejar datos confidenciales en aplicaciones SaaS.
Cómo se expusieron los datos de salud de los ciudadanos irlandeses
El portal de vacunación HSE se creó durante la crisis de la COVID-19 para permitir a los ciudadanos irlandeses reservar rápidamente citas para vacunas, y los usuarios se registraban mediante un formulario de autorregistro.
El portal fue construido sobre la plataforma Salesforce, en lo que se conoce como una ‘Comunidad Digital’. Estas comunidades están configuradas para otorgar a todas las personas registradas un perfil específico, que les otorga permisos para realizar acciones en la interfaz de usuario del portal, como registrarse para una vacunación o ver los detalles de su cita.
Sin embargo, HSE configuró accidentalmente los permisos del perfil para otorgar acceso a los usuarios al objeto Health Cloud que almacenaba información sobre otros registrantes, incluido su estado de vacunación.
A los usuarios también se les otorgaron privilegios excesivos que podrían permitirles acceder a una carpeta que contiene documentos internos de HSE.
La mayoría de los usuarios no se habrían dado cuenta de que tenían este nivel de acceso porque el portal está diseñado específicamente para mostrar únicamente los datos de las personas, señaló Costello.
Sin embargo, un actor malintencionado podría haber aprovechado la configuración incorrecta para acceder y filtrar información confidencial sobre personas y HSE.
Costello explicó que esto podría haberse logrado simplemente registrándose en el Portal de Vacunación para que se le asigne automáticamente el perfil de Salesforce con privilegios excesivos y luego viendo todos los objetos que existían dentro de la plataforma Salesforce a través de la API, incluidos aquellos en la aplicación Health Cloud.
A partir de ahí, un actor malintencionado podría recorrer la lista de objetos disponibles e intentar acceder y descargar los datos que contienen.
“Esto habría permitido al individuo malintencionado acceder tanto a la documentación interna de HSE como a todos los registros de administración de vacunas de más de un millón de personas”, explicó Costello.
El Tiempos irlandeses citó a un portavoz de HSE que confirmó que se había producido la mala configuración y dijo que se solucionó el día que se le alertó sobre el problema.
Destacó la “presión de tiempo” del programa de vacunación COVID-19 como la causa de la exposición accidental, pero reiteró que no había evidencia de que un actor malintencionado accediera a los datos.
Cómo mitigar el riesgo de configuraciones incorrectas en Salesforce
Costello estableció las mejores prácticas que deben adoptar las organizaciones que tienen contenido público en la plataforma Salesforce para evitar el riesgo de exposición de datos:
- Establecer el principio de privilegio mínimo para usuarios internos y externos.
- Realice revisiones periódicas del modelo de permisos de los elementos que otorgan acceso dentro de Salesforce.
- Implementar clasificaciones sobre datos sensibles almacenados en la plataforma.
- Supervise los registros proporcionados por Salesforce para detectar intentos de filtración de datos
- Auditar periódicamente la configuración de la plataforma, incluido el control de acceso.
Costello reconoció que estas acciones habrían sido “excepcionalmente difíciles” de implementar manualmente para HSE en medio de la prisa por gestionar el rápido despliegue de la vacunación en todo el país durante la pandemia.
Haber de imagen: Lukassec/Shutterstock.com
