Uma empresa que se encontra associada com a entidade de saúde do Reino Unido NHS pode ter estado durante anos a fornecer dados de pacientes inadvertidamente na internet. Em causa encontra-se uma falha recentemente descoberta nas APIs da entidade, que estariam a expor dados sensíveis de pacientes.
Segundo a BBC News, a empresa Medefer teria um erro nas suas APIs, que durante seis anos esteve a expor dados dos seus pacientes e da NHS publicamente para a internet. De notar que a Medefer gere mais de 1500 pacientes da NHS por mês, e tendo em conta a duração de tempo em que a falha esteve ativa, esta pode ter afetado milhares de pacientes.
A falha e divulgação dos dados encontra-se atualmente sobre investigação, sendo que a NHS confirma ter recebido os relatórios sobre a mesma, e procedeu imediatamente à análise do incidente.
O investigador de segurança que descobriu a falha, que não foi oficialmente citado, indicou ter ficado surpreendido pela mesma. Embora se acredite que a falha não tenha sido ativamente explorada para o roubo de dados, uma investigação deve ser feita para analisar se tal pode ter ocorrido.
O investigador terá ficado surpreendido por ser uma falha relativamente simples e fácil de explorar, mas igualmente por ser algo relativamente básico e simples de corrigir, que não deveria ter acontecido em primeiro lugar.
Poucos dias depois da falha ter sido confirmada pelo investigador, e da empresa ter sido notificada sobre tal, a mesma foi corrigida. No entanto, apenas uma investigação do incidente poderá confirmar se a mesma foi ou não usada para fins maliciosos.
Por agora, a Medefer encontra-se a proceder com as investigações, e espera-se que mais detalhes venham a ser conhecidos em breve. A empresa apenas refere que, até ao momento, não existem provas de que a falha tenha sido usada para o roubo de dados ou de forma maliciosa.
Nenhum comentário
Seja o primeiro!