Esta app que es como un Infojobs para enfermeras ha expuesto miles de datos durante meses
ESHYFT es una aplicación móvil que permite conectar a sanitarios con hospitales y centros de salud para encontrar trabajos temporales y turnos, que se define a sí misma como un Uber para enfermeras y que funciona en EE.UU, operando en 29 estados.
La app en cuestión está disponible para iOS y Android y en este último almacén cuenta con más de 50.000 descargas. Permite al personal de enfermería encontrar turnos disponibles en su zona, ver los salarios que paga cada centro y hasta recibir los pagos por sus servicios directamente mediante la aplicación.
Esta herramienta recopila una gran cantidad de información confidencial sobre el personal sanitario. El problema es que no la ha protegido convenientemente.
Un investigador de seguridad llamado Jeremiah Fowler halló una base de datos del servicio que no estaba protegida con contraseña, es decir, que se encontraba al acceso de cualquiera.
Se encontraba en un contenedor S3 de AWS que incluía 108,8 GB y 86.341 registros. Estos albergaban fotos de perfil e imágenes faciales de enfermeras, identificaciones médicas, carnets de conducir, tarjetas de la seguridad social escaneadas, archivos CSV con registros mensuales de horas de trabajo, certificados profesionales, acuerdos de asignación de trabajo, currículums vitae, diagnósticos médicos, registros de recetas y reclamaciones de seguro por discapacidad.
Los cibermalos pueden usar toda esta valiosa información para extorsionar a los centros sanitarios y obligarlos a pagar sumas desorbitadas para evitar la filtración de los archivos.
Una reacción muy lenta
El experto avisó a la compañía de la brecha de seguridad y aunque obtuvo respuesta de la misma, ESHYFT no se caracterizó por su celeridad. Le prometieron que investigarían pero tardaron más de un mes en proteger los datos. Fowler asegura a The Register, medio que publica el tema en exclusiva, que este tiempo de reacción «es una locura» y que «cada segundo cuenta», más al ser detalles sanitarios.
«Mi opinión sobre esta exposición es la siguiente: la mayoría de las apps y las áreas del panel de usuario de un servicio solo ofrecen un portal con un inicio de sesión o un área de administración frontal», ha señalado Fowler. «Una vez que el usuario proporciona sus credenciales, puede cargar o acceder a documentos. Estos registros y documentos deben almacenarse en algún lugar y luego entregarse al usuario; aquí es donde surge el problema», aconseja.
Fowler asegura que este ha sido uno de sus hallazgos más interesantes. «El servicio que presta es realmente muy valioso y cubre las necesidades de personal de los hospitales o proveedores de atención médica. ESHYFT brinda un servicio muy necesario; es una lástima que estos datos hayan estado expuestos públicamente durante tanto tiempo», concluye.
Juanrrison Ford
Últimas entradas de Juanrrison Ford (ver todo)
- Esta app que es como un Infojobs para enfermeras ha expuesto miles de datos durante meses - 13 marzo, 2025
- Activision trolea a sus usuarios con juegos móviles que no existen - 12 marzo, 2025
- Esta app de alarma te cobra un euro si no te levantas - 24 febrero, 2025
Quizás también te interese
El 74% de usuarios de Android asegura haber instalado un antivirus, pero solo la mitad lo ha hecho
Android supera a Windows como sistema operativo más popular del mundo
Happy Clinic, el juego en el que te pones en la piel de una enfermera de Urgencias
Ya es posible subir fotos a Instagram sin usar su app
El silencioso cambio en el icono de Google Play
