Suben un Excel a GitHub con datos personales de 16 millones de pacientes de COVID-19 brasileños

El archivo de Excel subido a GitHub contenía datos sensibles de más de 16 millones de pacientes por COVID-19, incluido el presidente brasileño y varios de sus miembros de gobierno. Los datos expuestos corresponden exclusivamente a pacientes brasileños, donde se mostraban nombres de usuario, contraseñas e incluso claves de acceso gubernamentales.

Fue un usuario de GitHub el que descubrió el fichero que contenía toda la información de los pacientes. El fichero fue enviado al periódico brasileño Estadao para analizar los datos y posteriormente notificar tanto al hospital como al Ministerio de Salud brasileño la filtración masiva.

El documento fue eliminado de GitHub para evitar una propagación mayor y preservar la identidad de los pacientes. En el caso de los miembros del gobierno brasileño, se encontraban los datos confidenciales y credenciales seguridad, incluyendo al propio presidente Jair Bolsonaro junto a 17 gobernadores civiles del país.

Dos bases de datos principales fueron las encargadas de almacenar los datos de los pacientes contagiados por COVID-19. Concretamente, E-SUS-VE y Sivep-Gripe son las utilizadas por el gobierno brasileño. En ella se almacenaban todo tipo de información relevante de los pacientes para realizar un control y seguimiento de los casos.

El problema se agrandó al descubrir que también fueron expuestos datos de historial médico, medicamentos e incluso los nombres y direcciones de los pacientes. Sin lugar a dudas, un grave problema de seguridad, ya que el fichero estaba al alcance de cualquiera. Ahora se investiga como pudo llegar el archivo de Excel a GitHub, pero sobre todo, que motivó realizar esta acción.

Los funcionarios del gobierno, como medida de prevención y seguridad, tuvieron que cambiar rápidamente sus credenciales para mantener sus accesos seguros y a salvo de personas ajenas a estas autorizaciones. Por el momento, no se han conocido acciones que vulneren la seguridad de los miembros o de sus cargos en el gobierno.

La privacidad y la seguridad son dos de los aspectos que más se han puesto en entredicho con las diferentes apps y sistemas tecnológicos creados para rastrear el COVID-19. En este caso es más bien un tema de descuido de un empleado que la arquitectura de diseño del sistema. Sin embargo, ya se han dado casos en Alemania o Nueva Zelanda por ejemplo con vulnerabilidades en sus apps de rastreo.

Fuente: Hipertextual