Error en Amazon revela Datos Médicos de 1.5 millones de personas
Reportes policiales de heridas, exámenes de laboratorio, notas médicas detalladas, números de seguridad social; todo estaba inexplicablemente allí esperando darse a conocer en un subdominio público de Amazon.
En una entrevista a Gizmodo, Vickery afirmó:
“Fue como si hubiese caído sobre mi”
Tras descargar toda la data se percató de lo que era y comenzó a contactar a las instituciones responsables, impactado. Entre los expuestos se encuentran la aseguradora estatal del fondo de Kansas, CSAC Excess Insurance Authority y la base de datos del condado de Salt Lake
Los datos provinieron de Systema Software, una compañía pequeña que maneja reclamos de seguros. Aun no está del todo claro como esos datos terminaron en el sitio, pero la compañía confirmó a Vickery lo sucedido. Tras haber hecho contacto con las instituciones afectadas, la base de datos desapareció del subdominio de Amazon. El 14 de Septiembre de 2015 el COO de Systema Software Danny Smith envió a Vickery un correo que decía:
“He querido decirte que, en este punto, ya hemos contactado a nuestros clientes y les hemos hecho saber de la situación. De nuevo, estamos agradecidos que hayas sido tú quién encontró el fallo de seguridad y que tus intenciones son buenas. Nuestros clientes están buscando confirmar que no has compartido los datos con nadie más, que no los compartirás y que los eliminarás”.
Vickery asegura que cuando habló con Smith, él había expresado que los datos habían quedado visible consecuencia de un error del contratista. Asimismo, Vickery debe entregar los datos al Procurador General de Texas, para su destrucción. Esto no significa que Systema esté exento de responsabilidad pues Vickers puede no ser la única persona que descargó millones de registros que estaban en la nube de Amazon.
Esto lleva a la reflexión sobre la importancia de la seguridad de los datos médicos electrónicos, puede que en esta ocasión la información no haya caído en manos equivocadas pero qué podría pasar si no fuese así. ¿Qué repercusiones puede tener que los datos de seguridad social estén a disposición de cualquiera? ¿cómo cambiarían las pólizas de seguros si tuviesen de antemano la información medica de los clientes? ¿existe la posibilidad de que compañías discriminen a sus empleados por su historial de salud? Todas estas posibilidades deben ser mantenidas a raya a través del cumplimiento de los estándares de seguridad. Será importante hacer seguimiento al resultado de las investigaciones y las posibles sanciones originadas por infracciones a normativas como HIPPA.
En Colombia, en vigencia de la Ley Estatutaria de Protección de Datos Personales los hechos descritos conducen a una debida gestión del incidente de seguridad y al reporte de este ante la Superintendencia de Industria y Comercio como autoridad en materia de Protección de Datos Personales
Podría pensarse que los fallos de seguridad siempre provienen de hackers que poco a poco socaban los protocolos de los servidores que almacenan información personal, y alguna de ella sensible, pues no, a veces es solo cuestión de buscar sin mucho esfuerzo una vulnerabilidad en el sistema y acceder desde allí. Eso fue lo que hizo Chris Vickery, un entusiasta de la tecnología de Texas con uno de los servidores de Amazon que presta el servicio de almacenar datos de salud sometidos a procesos de big data.
Vía Gizmodo