🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
CAse Study

Detalhes do paciente e registros médicos protegidos: o CloudSEK protege a organização de saúde

Garantir a segurança de uma grande empresa indiana de saúde ao lidar com uma API mal configurada que vaza informações pessoais e médicas confidenciais.

the customer

Uma grande empresa indiana de saúde

Industry

Assistência médica

Geography

Índia

CloudsEK Product
BeVigil
BeVigil
Modules
API Scanner
Attack vector

API mal configurada

USe Case

Vazamento de informações pessoais e médicas, incluindo nomes completos, DOB, números de celular, endereços e relatórios médicos, por meio de uma API mal configurada

Exposição de informações confidenciais evitada

Informações pessoais e médicas vazaram por meio de uma API mal configurada

Acesso não autorizado impedido

Possível acesso não autorizado às contas e dados médicos da ABHA evitado

Proteção de dados aprimorada

Protocolos reforçados de monitoramento e segurança implementados

Ready to get started?

Request a Demo

Desafio

O CloudSEK BeVigil descobriu uma API mal configurada em um arquivo JavaScript associado a um ativo de uma grande empresa indiana de saúde. As chaves de API e os tokens de autenticação expostos forneceram acesso não autenticado a endpoints confidenciais, permitindo que usuários não autorizados acessassem informações pessoais e médicas. Isso incluiu a capacidade de baixar relatórios médicos e potencialmente assumir contas de Ayushman Bharat usando tokens vazados.

Impacto

O acesso não autorizado a dados médicos pessoais pode resultar em violações significativas de privacidade, roubo de identidade e fraude. Os profissionais de saúde podem enfrentar responsabilidades legais e danos à reputação devido à exposição das informações do paciente. Além disso, a segurança do paciente pode ser comprometida se dados médicos confidenciais forem acessados ou adulterados, levando a tratamentos médicos incorretos

Solução

O CloudSEK BeVigil identificou e protegeu prontamente a API mal configurada, garantindo que os dados expostos fossem protegidos e o acesso fosse restrito.

Implementação:

Detecção:

O CloudSEK BeVigil descobriu a API mal configurada em um arquivo JavaScript associado ao ativo da empresa de saúde.

Análise de ameaças:

• As chaves de API expostas e os tokens de autenticação fornecidos acesso não autenticado a endpoints confidenciais, permitindo que usuários não autorizados acessem informações pessoais e médicas.

• A análise revelou o potencial de acesso não autorizado às contas da ABHA e a capacidade de baixar relatórios médicos.

Ações imediatas:

• A equipe de infosec da empresa de saúde protegeu a API mal configurada com base nas recomendações do CloudSEK para evitar mais acessos não autorizados.

Controles de acesso foram implementados para aplicar o princípio do menor privilégio, usando OAuth 2.0 ou chaves de API para autenticação.

Controles de rotação de chaves e limitação de taxa de API foram implementados para evitar abusos.

Medidas preventivas:

Princípios do controle de acesso baseado em funções (RBAC) foram aplicados para gerenciar o acesso com base nas funções do usuário

• Os funcionários foram educados sobre a importância de proteger informações confidenciais e seguir as melhores práticas de segurança de APIs