La empresa de salud Lyfebin expuso miles de archivos de imágenes médicas, como radiografías, resonancias magnéticas y ultrasonidos.
La startup de salud con sede en Los Ángeles permite a los médicos y al personal médico almacenar imágenes médicas en su "entorno seguro", según su sitio web, permitiendo el acceso de pacientes y médicos desde cualquier lugar.
Pero los archivos se encontraron almacenados en un depósito de almacenamiento de Amazon Web Services (AWS) sin protección, sin contraseña, lo que permite que cualquiera que conozca la dirección web fácil de adivinar acceda a los datos.
Los archivos fueron fechados entre septiembre de 2018 y octubre de 2019.
Después de comunicarnos para advertir sobre el lapso de seguridad, Lyfebin aseguró los datos.
El depósito de almacenamiento contenía más de 93,000 archivos, muchos de los cuales parecían duplicados, que contenían análisis médicos. Los archivos se almacenaron en el formato DICOM, un tipo de archivo común utilizado por los equipos de imágenes médicas. Cuando se abren, los archivos DICOM contienen las imágenes del escaneo, así como otros metadatos, como la fecha de nacimiento del paciente y el nombre del médico.
Cuando se le preguntó, Lyfebin no dijo cuántos pacientes individuales estaban afectados. En cambio, un portavoz no identificado de la compañía afirmó que el cubo era un "entorno de prueba en el que usamos cuentas falsas y cuentas de pacientes falsas para probar nuevas características", pero no proporcionó evidencia para respaldar el reclamo. (Pedimos varias veces el nombre del portavoz, pero el representante de la compañía dejó de devolver nuestros correos electrónicos).
Uno de los escaneos encontrados en el cubo de almacenamiento expuesto
"Cuando ingresamos información del paciente en nuestros servidores, eliminamos toda la información de identificación", dijo el portavoz no identificado. "No se ha expuesto ninguna información del paciente", agregaron.
Muchos de los archivos parecían estar anonimizados hasta cierto punto, aunque encontramos evidencia de alguna información potencialmente identificable, incluidos los nombres de los médicos y el sexo y la fecha de nacimiento del paciente, incluso si el nombre del paciente había sido codificado en la portada del archivo.
Un archivo que examinamos todavía contenía un nombre. El archivo tenía suficiente información identificable para permitirnos buscar a la persona que usa registros públicos. Cuando se alcanzó, la persona no pudo recordar la fecha específica de su exploración.
Cuando se le pidió que aclarara, el portavoz no identificado repitió la afirmación de que los datos contenían "información falsa del paciente", y luego amenazó a TechCrunch con acciones legales.
"Si se publica, nuestro equipo legal revisará su artículo por cualquier inexactitud y demandará con el mayor grado de la ley por cualquier malversación por su parte o TechCrunch", dijo el portavoz.
Lyfebin no respondió nuestras otras preguntas, incluido cuánto tiempo estuvo expuesto el cubo. La compañía no dijo si la compañía planea informar a los clientes sobre el lapso de seguridad, ni tampoco si planeó divulgar el incidente a las autoridades locales según las leyes estatales de notificación de violación de datos.
Lee mas: