O Practice by Numbers, desenvolvedor de um software de gestão de pacientes usado em milhares de consultórios odontológicos, corrigiu uma falha de segurança que expunha registros privados de saúde de pacientes em um portal fornecido com o software, conforme apurou o TechCrunch.
O paciente Joseph R. Cox relatou o bug ao TechCrunch depois de se deparar com o problema ao consultar seus próprios registros odontológicos no portal oferecido por seu dentista. Segundo Cox, a falha permitia que qualquer usuário do portal acessasse documentos de outros pacientes. Ele conseguiu acessar documentos de outros pacientes a partir de sua conta, incluindo informações pessoais, históricos médicos, identificação com foto e outros arquivos. O bug também significava que os registros de Cox estavam igualmente expostos a outros pacientes.
A exploração do bug era extremamente simples: bastava alterar o número do documento na URL enquanto carregava um dos documentos no portal para acessar arquivos de outros pacientes. Além disso, os números dos documentos pareciam ser sequenciais, o que tornava possível adivinhar facilmente os números de documentos de outras pessoas. Cox tentou alertar a empresa sobre o problema por e-mail, mas não obteve resposta, recorrendo ao TechCrunch como último recurso para solicitar a correção.
O Practice by Numbers afirma que seus produtos são usados em mais de 5.000 clínicas odontológicas nos Estados Unidos. Após a notificação do TechCrunch, a empresa corrigiu a falha. O caso ressalta a importância de canais de reporte de vulnerabilidades e a necessidade de sistemas seguros para proteger dados sensíveis de pacientes.
