成千上萬的醫(yī)療記錄在兩次數(shù)據(jù)泄露中被曝光

數(shù)十萬份醫(yī)療記錄，包括那些在戰(zhàn)斗中受傷的美國軍的記錄，被發(fā)現(xiàn)暴露在兩個(gè)單獨(dú)的數(shù)據(jù)泄露中，一個(gè)與醫(yī)療處理公司有關(guān)，另一個(gè)與社交媒體公司有關(guān)。

這兩個(gè)數(shù)據(jù)破壞都是由來自vpnMentor的安全研究人員Noam Rotem和RanLocar發(fā)現(xiàn)的，涉及到位于暴露于所有和雜物的服務(wù)器上的私有數(shù)據(jù)。

在本周早些時(shí)候描述的第一個(gè)病例中，在一個(gè)不安全的MongoDB數(shù)據(jù)庫中發(fā)現(xiàn)了大約78,000名使用Vascepa藥物的患者的個(gè)人數(shù)據(jù)。 暴露的數(shù)據(jù)包括病人的姓名、地址、電話號(hào)碼、電子郵件地址、處方醫(yī)生、他們的NPI號(hào)碼和藥房信息。

目前還不完全清楚誰擁有數(shù)據(jù)庫。 研究人員在數(shù)據(jù)中找到了兩家公司的識(shí)別代碼：電子郵件營銷平臺(tái)提供商Constant聯(lián)系人和PSKW，這是一個(gè)名為ConntectiveRX的電子處方程序的合法名稱。

研究人員寫道：“鑒于數(shù)據(jù)中標(biāo)簽的一致性，我們懷疑數(shù)據(jù)庫可能屬于Connective RX。 “然而，我們只找到了有關(guān)Vascepa處方的數(shù)據(jù)，這使得泄漏的來源不太清楚。

在討論Vascepa數(shù)據(jù)庫時(shí)，欺詐預(yù)防技術(shù)公司ArkoseLabsInc.的首席執(zhí)行官凱文·戈斯卡爾(Kevin Gosschalk)對(duì)硅谷說，繼Quest診斷和實(shí)驗(yàn)室公司之后，這是過去三周來第三次高調(diào)的醫(yī)療違約。

Gosschalk說：“處理醫(yī)療記錄的公司是網(wǎng)絡(luò)罪犯的主要目標(biāo)，必須采取一切必要的預(yù)防措施來保護(hù)所有的攻擊表面。 “在當(dāng)今的威脅環(huán)境中，公司無法承受這種性質(zhì)的安全嚴(yán)重失效。 必須在任何時(shí)候都采取積極主動(dòng)的安全措施，以保護(hù)攻擊面和保護(hù)敏感數(shù)據(jù)。

在這兩次數(shù)據(jù)泄露中，第二次和更大的一次涉及約15萬份個(gè)人記錄和屬于Face book公司營銷機(jī)構(gòu)xSocial MediaInc.服務(wù)器上的其他數(shù)據(jù)，該公司專門開展醫(yī)療事故訴訟活動(dòng)。

暴露的數(shù)據(jù)似乎是從Face book廣告的回復(fù)中收集的，包括姓名、電子郵件地址、街道地址、電話號(hào)碼和有關(guān)該人受傷的詳細(xì)信息。 除了個(gè)人信息外，服務(wù)器還包括發(fā)票、客戶數(shù)據(jù)和傷害-check.com廣告活動(dòng)的確切數(shù)字，這是x社交媒體用來收集數(shù)據(jù)的網(wǎng)站。

這些數(shù)據(jù)包括退伍軍的信息，他們描述了受傷情況，包括創(chuàng)傷后應(yīng)激障礙和其他不應(yīng)該暴露的親密醫(yī)療細(xì)節(jié)。 vpnMentor研究人員立即聯(lián)系了x社交媒體關(guān)于數(shù)據(jù)泄露的消息，但公司花了九天時(shí)間才將數(shù)據(jù)離線。

在這一階段，沒有證據(jù)表明任何一種情況下的數(shù)據(jù)都是惡意者訪問的，但也沒有證據(jù)證明數(shù)據(jù)也沒有被訪問。

網(wǎng)絡(luò)安全公司ImpervaInc.高級(jí)副總裁兼研究員特里？雷(Terry Ray)表示：“當(dāng)這樣一系列信息被包裝起來時(shí)，就像是一個(gè)禮物，等待壞的行為者來抓住它。

他說，在這些情況下，“由于數(shù)據(jù)庫存儲(chǔ)的是個(gè)人信息之外的醫(yī)療信息，應(yīng)該采取更多的謹(jǐn)慎措施?！彼a(bǔ)充說，未能對(duì)這些病人數(shù)據(jù)進(jìn)行加密可能違反了《健康保險(xiǎn)可攜性和問責(zé)法》或《健康保險(xiǎn)責(zé)任法》，責(zé)任人可能面臨巨額罰款。