Introducción

El Detectores de seguridad El equipo de seguridad cibernética descubrió una exposición de datos que afectaba al servicio médico japonés de preguntas y respuestas. me curan.

Doctors Me es un sitio web que brinda a los clientes acceso a pedido a asesoramiento médico profesional.

Un depósito de Amazon S3 propiedad de la empresa se dejó abierto sin la autorización de acceso y los controles de autenticación adecuados, lo que expuso datos confidenciales de unas 12,000 XNUMX personas.

Doctors Me es parte de una industria que ha experimentado un rápido crecimiento durante la pandemia de Covid-19. A medida que los servicios de consulta en línea se vuelven más comunes, el contenido del cubo demuestra que los pacientes deben tener cuidado con las imágenes que comparten a través de las plataformas médicas.

En particular, las imágenes de niños aparecen entre el contenido del cubo de Doctors Me, lo que presenta más riesgos asociados con esta violación de datos.

¿Quién es Doctors Me?

Doctors Me es una empresa privada con sede en Tokio, Japón. La empresa opera un sitio web, doctores-me.com, que permite a los usuarios subir de forma anónima fotografías de sus dolencias, enfermedades u otras afecciones para recibir una consulta de un profesional médico.

Doctors Me ofrece expertos médicos en cada área de la salud y el bienestar: médicos, farmacéuticos, nutricionistas, dentistas y consejeros. El sitio contiene otras formas de contenido que ayudan a los visitantes a autoevaluar su condición médica, incluidas listas de enfermedades y síntomas, una sección de preguntas y respuestas, un blog y una lista de control de salud para condiciones médicas comunes.

Doctors me es un servicio asequible que ofrece planes de pago entre 324 JPY/mes (~3 USD) y 540 JPY/mes (~5 USD). El sitio también es popular, con alrededor de 70,000 visitantes mensuales (según Crunchbase).

Varias referencias a la empresa, junto con el contenido del balde abierto, evidencian que pertenece a Doctors Me.

¿Qué estaba expuesto?

En total, el cubo de Amazon S3 mal configurado de Doctors Me ha expuesto más de 300,000 30 archivos, lo que equivale a unos XNUMX GB de datos.

Estos datos pertenecen a los clientes que utilizaron los servicios de consulta a pedido ofrecidos por doctores-me.com.

Específicamente, el balde no asegurado contenía fotos de sintomas que fueron subidos por los usuarios. Decenas de miles de estos archivos se podían encontrar en el cubo: más de 12,000 XNUMX imágenes eran únicas.

fotos de sintomas formas expuestas de datos sensibles del cliente:

• imágenes de condiciones médicas (de usuarios o sus dependientes); incluyendo erupciones, llagas, problemas dentales, excrementos y más;
• imágenes de rostros; incluidos en imágenes de síntomas, muchos de los cuales eran niños;
• imágenes de animales; incluidos en las imágenes de síntomas, sin embargo, estos archivos eran raros.

Todos los archivos almacenados en el cubo se cargaron de forma anónima, aunque, en algunos casos, las personas pueden identificarse a través de fotografías de sus rostros.

El depósito de Amazon S3 de Doctors Me estaba activo y actualizado en el momento del descubrimiento. Asegurar correctamente el depósito era responsabilidad de Doctors Me y, por lo tanto, Amazon no tiene la culpa de esta exposición de datos.

Puedes ver evidencia de estas imágenes a continuación. Advertencia: las imágenes contienen contenido gráfico.

Una imagen de una erupción en la cara de un bebé

Una condición de pie cargada por un usuario

Una imagen de la boca de un usuario (enfermedad de la lengua)

Algunos animales también aparecen en el cubo.

Doctors Me es una empresa japonesa y, por lo tanto, asumimos que la mayoría de los datos del cubo abierto pertenecen a ciudadanos japoneses.

Según la cantidad de archivos únicos almacenados en el depósito, estimamos que hay alrededor de 12,000 XNUMX usuarios afectados por esta exposición de datos.

Un desglose completo de la exposición de datos de Doctors Me está disponible en la siguiente tabla.

Descubrimos el depósito abierto de Amazon S3 el 11 de noviembre de 2021. Enviamos un mensaje a Doctors Me el mismo día.

El 21 de noviembre de 2021, enviamos un mensaje de seguimiento a Doctors Me y también nos comunicamos con el Equipo japonés de respuesta a emergencias informáticas (CERT). El 25 de noviembre de 2021, enviamos un mensaje al CERT japonés nuevamente y enviamos un mensaje a AWS con respecto al depósito de Doctors Me. El CERT japonés nos dijo que se comunicarían con el propietario del balde. Enviamos mensajes de seguimiento al CERT japonés el 15 de diciembre de 2021 y el 10 de enero de 2022. Respondieron el 11 de enero de 2022 y nos informaron que se comunicaron con AWS.

Doctors Me, sus clientes y cualquier otra persona incluida en el contenido del depósito podrían enfrentar varios impactos como resultado de esta violación de datos.

Impacto de la violación de datos

No podemos y no sabemos si los actores maliciosos accedieron al contenido del cubo de Amazon mientras estaba abierto.

Sin embargo, puede haber varios riesgos asociados con el cubo de Doctors Me en caso de que personas malintencionadas hayan visto o descargado sus imágenes. Los usuarios expuestos de Doctors Me y cualquier niño expuesto podrían experimentar formas de delincuencia.

Mientras tanto, Doctors Me podría enfrentar sanciones legales debido a su balde mal configurado.

Impacto en los clientes

Los clientes podrían enfrentar una violación de la privacidad, chantaje y la posible distribución de imágenes explícitas.

Violación de la privacidad

Los delincuentes podrían identificar potencialmente a los clientes de Doctors Me ya cualquier otro dependiente que tenga su rostro o características únicas identificables (es decir, tatuajes únicos) representados en el balde. Los piratas informáticos también podrían identificar a los usuarios si una de sus imágenes médicas se cargara en otras múltiples plataformas (es decir, sitios de redes sociales o foros médicos).

Por lo tanto, el depósito abierto de AWS S3 infringe la privacidad de los usuarios. La exposición de información médica confidencial podría tener un impacto grave en la vida cotidiana de los usuarios.

Una persona expuesta podría sentirse avergonzada y ansiosa por su condición médica, y podría ser ridiculizada y dañar su reputación si otros se enteraran. En algunos casos, la exposición de datos médicos confidenciales puede, en última instancia, afectar las relaciones personales, la vida amorosa y las oportunidades laborales de una persona.

Los usuarios expuestos también podrían ser chantajeados si algún malhechor encuentra el balde abierto de Doctors Me.

Chantaje

Una condición médica es un asunto extremadamente privado y muchas veces vergonzoso para el individuo en cuestión. El cubo contiene imágenes profundamente personales de dolencias gráficas, información que los clientes de Doctors Me pueden querer guardar para sí mismos, y con razón. Esta es la razón por la que Doctors Me describe su sitio web como un "servicio anónimo".

Es posible que los profesionales médicos que ofrecen consultas no tengan ningún interés en identificar a las personas incluidas en las imágenes. Sin embargo, un delincuente podría ver a los usuarios del depósito como objetivos vulnerables.

Los malos actores podrían identificar a los usuarios y explotar la privacidad de la condición médica de cada usuario para extorsionarlos por dinero.

Aunque no vimos evidencia de esto en las muestras, el cubo de Doctors Me podría contener imágenes de desnudos y áreas privadas de los cuerpos de los usuarios. Nuevamente, los delincuentes podrían explotar la privacidad de este contenido para extorsionar a los usuarios por dinero.

Específicamente, los delincuentes podrían atacar a usuarios identificables con chantaje, amenazando con distribuir imágenes privadas a menos que se pague una tarifa monetaria al delincuente.

Distribución de Fotos de Menores Expuestos 

El balde también contiene imágenes de niños y sus síntomas. A veces, estas imágenes muestran áreas privadas del cuerpo del niño para mostrar una condición médica.

Desafortunadamente, la presencia de menores expuestos sugiere que los depredadores pueden interesarse en el contenido del balde. Los depredadores podrían obtener acceso al contenido del cubo para descargar o distribuir estas imágenes.

Los bebés y los niños suelen ser tan pequeños que todo su cuerpo y cara caben en una sola imagen. Por ejemplo, una imagen de una erupción en el estómago de un bebé también puede mostrar la cara del niño. Esto significa, de manera preocupante, que muchos niños en la foto son identificables en el balde. Un depredador podría usar esta información para acechar a los niños o causar más daño fuera del espacio en línea.

Impacto en Doctors Me

La ley de protección de datos de Japón es la Ley de Protección de Datos Personales (APPI). El marco legal establecido en la APPI se rige por la Comisión de Protección de Datos Personales (PIPC).

La APPI exige que las organizaciones procesen, almacenen y distribuyan de manera adecuada y segura la información de identificación personal (PII) y los datos confidenciales de los ciudadanos japoneses. Cualquier incumplimiento de esta legislación podría resultar en sanciones y/o castigos para el “manejador de información”.

El PIPC podría sancionar a cualquier empleado culpable con una pena máxima de hasta un año de prisión o una multa de 1 millón de JPY (aproximadamente 9,000 USD). El PIPC podría imponer a Doctors Me una multa máxima de 100 millones de JPY (aproximadamente 900,000 XNUMX USD) si descubre que la empresa ha incumplido las pautas reglamentarias descritas en la APPI.

Además de cualquier sanción o castigo reglamentario, los interesados ​​(es decir, los ciudadanos japoneses cuya información ha sido expuesta) tienen derecho a solicitar una compensación por los daños ocasionados por la pérdida o exposición de los datos.

Prevención de la exposición de datos

¿Qué pasos pueden tomar los usuarios para mantener sus datos seguros? ¿Y qué se puede hacer para mitigar las consecuencias potencialmente dañinas de una violación de datos?

Antes de enumerar algunos consejos prácticos, primero debemos mencionar que los usuarios de las plataformas de consultas médicas deben tomar precauciones específicas: estas plataformas requieren contenido confidencial y son cada vez más comunes.

Los pacientes deben evitar visualizar información identificable, como etiquetas de nombres o identificaciones personales, y deben evitar visualizar su rostro (o el de su hijo) siempre que sea posible. Los pacientes no deben incluir imágenes íntimas si no son imprescindibles para la consulta.

Estos son algunos consejos generales para evitar la exposición de datos:

• Solo proporcione su información personal a personas, organizaciones o entidades en las que confíe al 100%.
• Solo visite sitios web con un dominio seguro (es decir, sitios web con un "https" y/o un símbolo de candado cerrado al comienzo de su nombre de dominio).
• Tenga cuidado al proporcionar sus formas de información personal más importantes, como su número de seguro social.
• Proporcione la cantidad mínima de datos solicitados por un sitio web, por ejemplo, si se necesita una identificación escaneada para verificar su edad, borre los datos de la dirección, los números de identificación y las fechas de vencimiento antes de enviar su imagen.
• Cree contraseñas súper seguras que usen una combinación de letras, números y símbolos. Actualice sus contraseñas existentes regularmente.
• No haga clic en un enlace en un correo electrónico (o en cualquier otro lugar en Internet) a menos que esté seguro de que la fuente es legítima.
• Edite su configuración de privacidad en los sitios de redes sociales. Asegúrate de que tu contenido solo sea visible para amigos y usuarios de confianza.
• No muestre ni escriba formularios importantes de información personal (como números de tarjetas de crédito o contraseñas) cuando esté conectado a una red WiFi no segura.
• Infórmese sobre el delito cibernético, la protección de datos y cualquier paso adicional que pueda tomar para mitigar el riesgo de ataques de phishing y malware.

Sobre Nosotros

SeguridadDetectives.com es el sitio web de revisión de antivirus más grande del mundo.

El laboratorio de investigación de SafetyDetectives es un servicio pro bono que tiene como objetivo ayudar a la comunidad en línea a defenderse de las amenazas cibernéticas mientras educa a las organizaciones sobre cómo proteger los datos de sus usuarios. El propósito general de nuestro proyecto de mapeo web es ayudar a que Internet sea un lugar más seguro para todos los usuarios.

Nuestros informes anteriores han sacado a la luz múltiples vulnerabilidades de alto perfil y fugas de datos, incluidos 2.6 millones de usuarios expuestos por un Plataforma estadounidense de análisis social IGBlade, así como una fuga que afecta al Empresa brasileña de software WSpot que expuso cientos de miles de archivos de clientes.

Para obtener una revisión completa de los informes de ciberseguridad de SafetyDetectives durante los últimos 3 años, siga  Equipo de Ciberseguridad de SafetyDetectives.

• Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
• CriptoHawk. Radar de altcoins. Prueba gratis.
• Fuente: https://www.safetydetectives.com/news/doctorsme-leak-report/