También se podría acceder a casi toda la información almacenada en la herramienta a través de otro espacio. Esto también incluye datos del paciente. Además del nombre, la dirección y la fecha de nacimiento, los investigadores también aprendieron el estado del seguro y la medicación prescrita.

Es el software «InSuite» de Doc Cirrus, según informa Tagesschau. Los médicos pueden usarlo para administrar las citas de los pacientes, pero sobre todo los archivos digitales de los pacientes. Los hallazgos de laboratorio también se pueden compartir con pacientes u otros médicos a través de «InSuite». Los datos están descentralizados en pequeños servidores, a los que Doc Cirrus se refiere como «cajas fuertes de datos», en las prácticas médicas respectivas, por lo que no es un servicio de nube central. Esto debería aumentar la seguridad.

Pero los investigadores de seguridad de Zerforschung obtuvieron acceso a las cuentas de correo electrónico de las prácticas médicas registradas en «InSuite» sin ningún problema. Los investigadores podrían haber visto toda la comunicación por correo electrónico entre el médico y el paciente. Los expertos en seguridad también encontraron otras brechas que permitían acceder a los datos personales de los pacientes: diagnósticos, hallazgos de laboratorio, valores sanguíneos o certificados. Según el oficial de protección de datos de Berlín, más de 60,000 pacientes de más de 270 prácticas se ven afectados. Se trata de un millón de registros.

Cualquier otro interesado podría haber hecho lo mismo. Los datos confidenciales no estaban adecuadamente protegidos.

Los investigadores de seguridad informaron a los fabricantes

Los investigadores de seguridad informaron a Doc Cirrus y a las autoridades responsables. La empresa cerró el sistema y confirmó la vulnerabilidad. La empresa cerró de inmediato el vacío legal causado por errores de programación. No se filtraron datos confidenciales, como escribe Doc Cirrus: «Nuestros análisis de registros y patrones de acceso no ofrecen ninguna razón para suponer que terceros vieron o accedieron a la información de la práctica o del paciente fuera del proceso de divulgación responsable».

Sin embargo, Doc Cirrus no da detalles del problema ni el número de consultorios médicos afectados. Doc Cirrus también guarda silencio cuando se le pregunta si los pacientes afectados han sido informados; solo confirma que ha informado a sus clientes, por ejemplo, las prácticas médicas y las autoridades. AOK Nordost, usuario de «InSuite», dice que los pacientes afectados no fueron informados. Según AOK Nordost, no hubo violación de datos. La mayoría de los servicios «InSuite» ya están disponibles nuevamente.

Zerforschung detalló aquí cómo encontró y analizó las vulnerabilidades.