Fabricante de software para consultório odontológico corrige bug que expunha registros médicos de pacientes

A Practice by Numbers, desenvolvedora de um software de gerenciamento de pacientes usado em milhares de consultórios odontológicos, corrigiu uma falha de segurança que expunha os registros privados de saúde dos pacientes em um portal que acompanha o software, descobriu o TechCrunch.

Um paciente, Joseph R. Cox, relatou o bug ao TechCrunch depois de encontrar o problema ao consultar seus próprios registros dentários no portal, oferecido pelo consultório de seu dentista.

Este portal de pacientes faz parte de um software de gerenciamento de consultórios odontológicos da Practice by Numbers, que reivindicações seus produtos são usados ​​em mais de 5.000 consultórios odontológicos nos Estados Unidos.

Cox disse que o bug permitiu que qualquer usuário do portal, que abriga documentos médicos e registros de saúde de pacientes, acessasse documentos pertencentes a outros pacientes. Ele disse que conseguiu acessar documentos de outros pacientes em sua conta, incluindo informações pessoais, históricos médicos, identificação com foto e outros arquivos. O bug também significou que os registros de Cox foram igualmente expostos a outros pacientes.

Cox disse que tentou alertar a empresa sobre o problema por e-mail, mas não obteve resposta. Ele então notificou o TechCrunch como último recurso para pedir à empresa que corrigisse o bug.

O bug foi extremamente fácil de ser explorado por qualquer pessoa com login no site Practice by Numbers. portal do paciente. Cox disse que alterar o número do documento no endereço da web ao carregar um de seus documentos no portal permitiu que os usuários acessassem os arquivos de outros pacientes.

Pior ainda, Cox disse que os números dos documentos no endereço da web parecem ser sequencialmente incrementais, então seria possível adivinhar facilmente os números dos documentos dos arquivos médicos de outras pessoas.

Cox disse ao TechCrunch que enfrentou dificuldades em alertar a Practice by Numbers sobre o problema, já que a empresa não ofereceu nenhum caminho discernível para relatar problemas de segurança. O endereço de e-mail da empresa em seu site estava quebrado, e os e-mails foram retornados como não entregues. Em vez disso, Cox enviou uma mensagem a um dos fundadores da empresa no LinkedIn, mas não obteve resposta após enviar um e-mail subsequente.

O problema, agora corrigido, destaca uma tendência recente em que consumidores regulares encontram falhas de segurança em produtos ou sites de empresas, mas não têm uma forma clara de reportar o problema aos desenvolvedores.

No início de abril, varejista de moda Express corrigiu um bug no site que permitiu que qualquer pessoa acessasse os detalhes do pedido e informações pessoais de outros clientes, depois que um usuário identificou o bug, mas não encontrou como alertar a empresa. Um incidente semelhante envolveu a Home Depot em dezembro: um pesquisador de segurança tentou alertar a empresa em particular sobre uma falha de segurança que estava ocorrendo. expondo o acesso aos seus sistemas internos por quase um anomas seus relatórios foram ignorados até que o TechCrunch contatou a empresa.

Dado que a falha de segurança estava colocando ativamente os dados dos pacientes em risco, o TechCrunch alertou a Practice by Numbers sobre o problema em 13 de abril. A empresa retirou do ar seu portal do paciente para corrigir o bug e o colocou online novamente em 17 de abril.

O cofundador e diretor de tecnologia da Practice by Numbers, Chris Lau, disse ao TechCrunch que a empresa corrigiu a vulnerabilidade e notificou menos de 10 pacientes de que suas informações foram expostas devido ao bug, citando os logs do servidor.

A empresa disse que estava trabalhando com o consultório odontológico afetado para notificar os pacientes afetados. Lau disse que a empresa não identificou evidências de atividades anteriores relacionadas ao bug, sugerindo que Cox foi provavelmente o primeiro a encontrá-lo.

Cox confirmou que o bug parece ter sido corrigido.

Quando questionados pelo TechCrunch, nem Lau nem o cofundador e presidente da Practice by Number, Rohit Garg, disseram se o portal do paciente da empresa passou por uma auditoria de segurança antes de ser lançado. As empresas geralmente passam por auditorias de segurança para garantir que seus produtos atendam aos padrões de segurança cibernética e estejam livres de falhas de segurança comuns antes que os clientes comecem a usá-los.

Embora nenhum software esteja completamente livre de bugs, as empresas que lidam com informações confidenciais, como dados de saúde, normalmente buscam análises de seu código por terceiros para eliminar quaisquer falhas importantes de segurança.

Quando questionado se a Practice by Numbers planeja atualizar seu site para permitir que pesquisadores de segurança notifiquem a empresa sobre falhas de segurança, como por meio de um programa de divulgação de vulnerabilidades, Garg disse que a empresa planeja atualizar seu site para permitir que as pessoas relatem problemas de segurança. A empresa não ofereceu um cronograma.