Журналисты обнаружили в Интернете записи телефонных переговоров между клиентами одного из шведских медицинских сервисов. На веб-сервере, который не требовал пароля для подключения, с 2013 года накопилось около 2,7 млн аудиофайлов общей длительностью 170 тыс. часов.

Информация об угрозе поступила в шведское издание IDG от анонимного источника. Как установил репортер Ларс Добос (Lars Dobos), уязвимый сервер обеспечивал работу облачного колл-центра компании MedHelp. Она предоставляет удаленные медицинские консультации в сотрудничестве с государственной организацией Inera — координатором цифровых сервисов для шведских граждан. В цепочке также участвуют компании Voice Integrate Nordic AB, создавшая облачное ПО Biz 2.0 для колл-центра, и Medicall, которая администрирует пострадавший сервер.

Подключившись к хранилищу, Добос смог просмотреть все его содержимое. Более того, новые записи появлялись онлайн прямо на глазах журналиста. Исследователь не уточняет, мог ли он редактировать содержимое, однако даже такой доступ создавал серьезные угрозы для клиентов MedHelp.

Так, 57 тыс. файлов содержали в наименовании телефонные номера звонивших граждан. Некоторые клиенты называли в разговорах свои номера социального страхования. Журналисты отмечают, что такая утечка может повлечь наказание в соответствии как с общеевропейским GDPR, так и местным законодательством о защите прав пациентов.

По словам Добоса, проблемы не ограничивались одним лишь отсутствием аутентификации. Сервер работал на базе Apache HTTP Server 2.4.7, опубликованной в 2013 году. За прошедшее время в этом ПО было обнаружено более 20 уязвимостей, многие из которых можно было использовать, чтобы скомпрометировать хранилище.

Из всех участвовавших в процессе организаций журналисты смогли получить комментарии только от поставщика ПО для колл-центра — Voice Integrate Nordic. Генеральный директор компании Томми Экстрём (Tommy Ekström) признал, что они не знали о существовании проблемы, и пообещал разобраться в ее причинах. Вскоре после публикации материала Добоса веб-сервер стал недоступен для подключения.

В 2018 году исследователи обнаружили онлайн 1,5 млрд приватных файлов, которые включали результаты медицинских обследований, налоговые формы и корпоративные материалы. Вся эта конфиденциальная информация попала в открытый доступ из-за неверных настроек хранилищ.

Категории: Кибероборона, Уязвимости