成千上萬(wàn)的醫(yī)療記錄在兩次數(shù)據(jù)泄露中被曝光

2020-03-31 09:14:19 編輯：來(lái)源：

導(dǎo)讀數(shù)十萬(wàn)份醫(yī)療記錄，包括那些在戰(zhàn)斗中受傷的美國(guó)軍的記錄，被發(fā)現(xiàn)暴露在兩個(gè)單獨(dú)的數(shù)據(jù)泄露中，一個(gè)與醫(yī)療處理公司有關(guān)，另一個(gè)與社交媒體公司有關(guān)。這兩個(gè)數(shù)據(jù)破壞都是由來(lái)自vpnMentor的安全研究人員Noam Rotem和RanLocar發(fā)現(xiàn)的，涉及到位于暴露于所有和雜物的服務(wù)器上的私有數(shù)據(jù)。在本周早些時(shí)候描述的第一個(gè)病例中，在一個(gè)不安全的MongoDB數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了大約78,000名使用Vas

數(shù)十萬(wàn)份醫(yī)療記錄，包括那些在戰(zhàn)斗中受傷的美國(guó)軍的記錄，被發(fā)現(xiàn)暴露在兩個(gè)單獨(dú)的數(shù)據(jù)泄露中，一個(gè)與醫(yī)療處理公司有關(guān)，另一個(gè)與社交媒體公司有關(guān)。

這兩個(gè)數(shù)據(jù)破壞都是由來(lái)自vpnMentor的安全研究人員Noam Rotem和RanLocar發(fā)現(xiàn)的，涉及到位于暴露于所有和雜物的服務(wù)器上的私有數(shù)據(jù)。

在本周早些時(shí)候描述的第一個(gè)病例中，在一個(gè)不安全的MongoDB數(shù)據(jù)庫(kù)中發(fā)現(xiàn)了大約78,000名使用Vascepa藥物的患者的個(gè)人數(shù)據(jù)。暴露的數(shù)據(jù)包括病人的姓名、地址、電話號(hào)碼、電子郵件地址、處方醫(yī)生、他們的NPI號(hào)碼和藥房信息。

目前還不完全清楚誰(shuí)擁有數(shù)據(jù)庫(kù)。研究人員在數(shù)據(jù)中找到了兩家公司的識(shí)別代碼：電子郵件營(yíng)銷(xiāo)平臺(tái)提供商Constant聯(lián)系人和PSKW，這是一個(gè)名為ConntectiveRX的電子處方程序的合法名稱。

研究人員寫(xiě)道：“鑒于數(shù)據(jù)中標(biāo)簽的一致性，我們懷疑數(shù)據(jù)庫(kù)可能屬于Connective RX。 “然而，我們只找到了有關(guān)Vascepa處方的數(shù)據(jù)，這使得泄漏的來(lái)源不太清楚。

在討論Vascepa數(shù)據(jù)庫(kù)時(shí)，欺詐預(yù)防技術(shù)公司ArkoseLabsInc.的首席執(zhí)行官凱文·戈斯卡爾(Kevin Gosschalk)對(duì)硅谷說(shuō)，繼Quest診斷和實(shí)驗(yàn)室公司之后，這是過(guò)去三周來(lái)第三次高調(diào)的醫(yī)療違約。

Gosschalk說(shuō)：“處理醫(yī)療記錄的公司是網(wǎng)絡(luò)罪犯的主要目標(biāo)，必須采取一切必要的預(yù)防措施來(lái)保護(hù)所有的攻擊表面。 “在當(dāng)今的威脅環(huán)境中，公司無(wú)法承受這種性質(zhì)的安全嚴(yán)重失效。必須在任何時(shí)候都采取積極主動(dòng)的安全措施，以保護(hù)攻擊面和保護(hù)敏感數(shù)據(jù)。

在這兩次數(shù)據(jù)泄露中，第二次和更大的一次涉及約15萬(wàn)份個(gè)人記錄和屬于Face book公司營(yíng)銷(xiāo)機(jī)構(gòu)xSocial MediaInc.服務(wù)器上的其他數(shù)據(jù)，該公司專門(mén)開(kāi)展醫(yī)療事故訴訟活動(dòng)。

暴露的數(shù)據(jù)似乎是從Face book廣告的回復(fù)中收集的，包括姓名、電子郵件地址、街道地址、電話號(hào)碼和有關(guān)該人受傷的詳細(xì)信息。除了個(gè)人信息外，服務(wù)器還包括發(fā)票、客戶數(shù)據(jù)和傷害-check.com廣告活動(dòng)的確切數(shù)字，這是x社交媒體用來(lái)收集數(shù)據(jù)的網(wǎng)站。

這些數(shù)據(jù)包括退伍軍的信息，他們描述了受傷情況，包括創(chuàng)傷后應(yīng)激障礙和其他不應(yīng)該暴露的親密醫(yī)療細(xì)節(jié)。 vpnMentor研究人員立即聯(lián)系了x社交媒體關(guān)于數(shù)據(jù)泄露的消息，但公司花了九天時(shí)間才將數(shù)據(jù)離線。

在這一階段，沒(méi)有證據(jù)表明任何一種情況下的數(shù)據(jù)都是惡意者訪問(wèn)的，但也沒(méi)有證據(jù)證明數(shù)據(jù)也沒(méi)有被訪問(wèn)。

網(wǎng)絡(luò)安全公司ImpervaInc.高級(jí)副總裁兼研究員特里？雷(Terry Ray)表示：“當(dāng)這樣一系列信息被包裝起來(lái)時(shí)，就像是一個(gè)禮物，等待壞的行為者來(lái)抓住它。

他說(shuō)，在這些情況下，“由于數(shù)據(jù)庫(kù)存儲(chǔ)的是個(gè)人信息之外的醫(yī)療信息，應(yīng)該采取更多的謹(jǐn)慎措施?！彼a(bǔ)充說(shuō)，未能對(duì)這些病人數(shù)據(jù)進(jìn)行加密可能違反了《健康保險(xiǎn)可攜性和問(wèn)責(zé)法》或《健康保險(xiǎn)責(zé)任法》，責(zé)任人可能面臨巨額罰款。