Múltiplas vulnerabilidades nos produtos de um fornecedor de software de assistência médica podem ter colocado em risco os dados de mais de 90 milhões de pacientes.

O OpenEMR desenvolveu o sistema de código aberto Electronic Health Record (EHR) e outras ferramentas que são usadas para atender a uma estimativa de 30 milhões de pacientes nos EUA e mais de três vezes esse número globalmente.

De acordo com um relatório divulgado por pesquisadores do Project Insecurity nesta semana, os seus produtos foram analisados e identificados com mais de 20 problemas de segurança.

Estes problemas incluem:

  • 9 vulnerabilidades de SQL injection separadas;
  • 4 falhas de execução de código remoto
  • Várias falhas de leitura, escrita, execução e remoção arbitrária de ficheiros
  • Authentication bypass num portar de acesso restrito
  • E CSRF (cross-site request forgery).

 

O grupo entrou em contato com o fornecedor em 7 de julho e deu um mês para corrigir os bugs antes de emitirem um comunicado público.

A empresa já corrigiu “a maioria” das vulnerabilidades divulgadas, segundo a BBC.

“The OpenEMR community takes security seriously and considered this vulnerability report high priority since one of the reported vulnerabilities did not require authentication,” a statement noted.

 

O setor de saúde foi o setor mais afetado por violações (24%) no ano passado e também o único setor em que ameaças internas (56%) superaram as de agressores externos (43%), de acordo com a Verizon.

Pesquisas separadas da Thales eSecurity alegaram que 70% das organizações globais de saúde foram violadas.

“Organizations such as OpenEMR who handle sensitive data are a prime target for attackers globally and cannot afford to have any gaps in their cybersecurity,” argued Keith Graham, CTO at SecureAuth Core Security.

“Keeping data available, confidential and safe isn’t just a business issue — it allows healthcare personnel to provide the best patient care possible. This discovery should act as a warning to other healthcare organizations to examine their own cybersecurity posture, including extensive pen testing, and improve their approach to authentication.”

 

 

Pedro Tavares is a professional in the field of information security, currently working as IT Security Engineer. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.