成千上萬的醫(yī)療記錄在兩次數(shù)據(jù)泄露中被曝光

數(shù)十萬份醫(yī)療記錄，包括那些在戰(zhàn)斗中受傷的美國軍的記錄，被發(fā)現(xiàn)暴露在兩個單獨的數(shù)據(jù)泄露中，一個與醫(yī)療處理公司有關，另一個與社交媒體公司有關。

這兩個數(shù)據(jù)破壞都是由來自vpnMentor的安全研究人員Noam Rotem和RanLocar發(fā)現(xiàn)的，涉及到位于暴露于所有和雜物的服務器上的私有數(shù)據(jù)。

在本周早些時候描述的第一個病例中，在一個不安全的MongoDB數(shù)據(jù)庫中發(fā)現(xiàn)了大約78,000名使用Vascepa藥物的患者的個人數(shù)據(jù)。 暴露的數(shù)據(jù)包括病人的姓名、地址、電話號碼、電子郵件地址、處方醫(yī)生、他們的NPI號碼和藥房信息。

目前還不完全清楚誰擁有數(shù)據(jù)庫。 研究人員在數(shù)據(jù)中找到了兩家公司的識別代碼：電子郵件營銷平臺提供商Constant聯(lián)系人和PSKW，這是一個名為ConntectiveRX的電子處方程序的合法名稱。

研究人員寫道：“鑒于數(shù)據(jù)中標簽的一致性，我們懷疑數(shù)據(jù)庫可能屬于Connective RX。 “然而，我們只找到了有關Vascepa處方的數(shù)據(jù)，這使得泄漏的來源不太清楚。

在討論Vascepa數(shù)據(jù)庫時，欺詐預防技術公司ArkoseLabsInc.的首席執(zhí)行官凱文·戈斯卡爾(Kevin Gosschalk)對硅谷說，繼Quest診斷和實驗室公司之后，這是過去三周來第三次高調(diào)的醫(yī)療違約。

Gosschalk說：“處理醫(yī)療記錄的公司是網(wǎng)絡罪犯的主要目標，必須采取一切必要的預防措施來保護所有的攻擊表面。 “在當今的威脅環(huán)境中，公司無法承受這種性質(zhì)的安全嚴重失效。 必須在任何時候都采取積極主動的安全措施，以保護攻擊面和保護敏感數(shù)據(jù)。

在這兩次數(shù)據(jù)泄露中，第二次和更大的一次涉及約15萬份個人記錄和屬于Face book公司營銷機構xSocial MediaInc.服務器上的其他數(shù)據(jù)，該公司專門開展醫(yī)療事故訴訟活動。

暴露的數(shù)據(jù)似乎是從Face book廣告的回復中收集的，包括姓名、電子郵件地址、街道地址、電話號碼和有關該人受傷的詳細信息。 除了個人信息外，服務器還包括發(fā)票、客戶數(shù)據(jù)和傷害-check.com廣告活動的確切數(shù)字，這是x社交媒體用來收集數(shù)據(jù)的網(wǎng)站。

這些數(shù)據(jù)包括退伍軍的信息，他們描述了受傷情況，包括創(chuàng)傷后應激障礙和其他不應該暴露的親密醫(yī)療細節(jié)。 vpnMentor研究人員立即聯(lián)系了x社交媒體關于數(shù)據(jù)泄露的消息，但公司花了九天時間才將數(shù)據(jù)離線。

在這一階段，沒有證據(jù)表明任何一種情況下的數(shù)據(jù)都是惡意者訪問的，但也沒有證據(jù)證明數(shù)據(jù)也沒有被訪問。

網(wǎng)絡安全公司ImpervaInc.高級副總裁兼研究員特里？雷(Terry Ray)表示：“當這樣一系列信息被包裝起來時，就像是一個禮物，等待壞的行為者來抓住它。

他說，在這些情況下，“由于數(shù)據(jù)庫存儲的是個人信息之外的醫(yī)療信息，應該采取更多的謹慎措施?！彼a充說，未能對這些病人數(shù)據(jù)進行加密可能違反了《健康保險可攜性和問責法》或《健康保險責任法》，責任人可能面臨巨額罰款。