Foto: Getty
Mindst ti tusinder, hvis ikke millioner af medicinske optegnelser New York patienter, der indtil for nylig var let tilgængelige online for kun om nogen, der vidste, hvordan man ser ud.
Patientens demografiske oplysninger, cpr-numre, poster, medicinske diagnoser og behandlinger, sammen med et væld af andre meget følsomme oplysninger blev efterladt helt forsvares ved en medicinsk IT-virksomhed baseret i Louisville, Kentucky. De filer, der hører til mindst titusinder af patienter, stammer fra Bronx-Lebanon Hospital Center i New York.
I en erklæring, forudsat at Gizmodo—og udgivet af NBC News onsdag aften—Bronx Libanon sagde, at en server, der indeholder sine patienters data, var “mål om, at en uautoriseret hack af en tredje part,” at tillægge denne vurdering til hospitalets sælger, vil til diæt Løsninger. Hospitalet tilføjet, at der vil til diæt havde taget skridt til at beskytte data, og at begge parter var “at samarbejde fuldt ud med retshåndhævende agenter.” vil til diæt Løsninger ikke reagere på anmodninger om en kommentar.
Men ifølge Kromtech Security Center, som er en tysk sikkerheds-software-udviklingsfirma, lækagen var ikke resultatet af en ondsindet hacker at infiltrere Bronx Libanon server. I stedet, den firma ‘ s analyse viste, at de data, der blev efterladt ubeskyttet på en backup storage-enhed, uden en adgangskode, der er tilgængelig for alle online. Det forekommer også sandsynligt, at de data, der ikke var beskyttet af en aktiv firewall, udsætter en ufortalt antal af patienter til kriminelle handlinger, identitet tyveri og afpresning.
Modtager omkring 1,1 millioner besøg hvert år, ifølge sin hjemmeside, Bronx, Libanon er den største ikke-for-profit hospital i det Sydlige og Centrale Bronx, komplet med psykiatriske programmer, to specialiserede langtidspleje faciliteter, og netværk af mindre medicinsk praksis. I alt indeholder systemet 972 senge. Dens skadestue, et af de travleste i New York, ser en anslået på 140.000 besøg om året, ifølge sin hjemmeside.
Blandt de mest sårbare er en ufortalt antal af patienter, der har tjekket ind på en af Bronx Libanons kemisk afhængighed programmer. De lækkede filer, som efter sigende er nu blevet sikret, indeholder en lang række af afhængighed indtag former. Sikkerhed forskere, der faldt over de data, fortælle Gizmodo de dokumenter, “at male et samlet billede af patientens medicin, medicinsk historie, og selvmordstanker.”
Den udsatte Bronx Libanon filer blev første gang rapporteret af Kromtech, som siger, at det opdagede cachen, mens foretage en uafhængig sikkerhed revision. På trods af hospitalets insisteren på, at det var offer for en it-kriminalitet, retsmedicinsk bevismateriale, der er indsamlet af Kromtech fortæller en anden historie—en, der kunne implicere vil til diæt Innovationer i en alvorlig krænkelse af Health Insurance Portability and Accountability Act (HIPAA), den føderale lov, der regulerer sikkerheds-standarder til beskyttelse af elektronisk beskyttet information om sundhed, hvis det viser sig sande.
Blandt andre tekniske sikkerhedsforanstaltninger, HIPAA kræver, at sundhed pleje udbydere anvender mekanismer til at kryptere fortrolige medicinske data, for at beskytte det mod ændring eller ødelæggelse, og til at “beskytte sig mod uautoriseret adgang til elektronisk beskyttet beskyttet information om sundhed er dette, der overføres via et elektronisk kommunikationsnet.” Dem, der er autoriseret til at håndtere følsomme medicinske poster også kræves i henhold til den lov til at give en anmeldelse af et sikkerhedsproblem, som involverer offentliggørelse af personligt identificerbare helbredsoplysninger.
Bøder for overtrædelse af HIPAA bestemmelser kan være stejle. Sidste år, University of Mississippi Medical Center udbetalt $2.75 millioner efter en bærbar er forsvundet fra en intensiv afdeling. I modsætning til de data, der er indeholdt på Bronx Libanon server, patienten filer på stjålne Mississippi laptop havde den fordel, at den er beskyttet af en adgangskode.
Ifølge Kromtech, Bronx Libanon “bruddet”, der angiveligt fandt sted, fordi dens backup storage-enhed, som primært var konfigureret til at tillade nogen at se filerne. I denne situation, for en gennemsnitlig bruger, filer ville ikke have været let at finde. Men for ondsindede hackere og legitime sikkerheds-professionelle, er det ingen problemer overhovedet.
For at finde Bronx Libanon data, ville man kun har brug for at starte en søgning efter enheder, der kører Rsync, et fælles file transfer protocol primært anvendes til sikkerhedskopiering af data. Og der er en god grund til, at Kromtech foretaget denne søgning: Der har været mange store lækager forårsaget af forkert enheder, der kører Rsync med sin standard port ubeskyttet. Mens der i løbet af sin revision, Kromtech rapporter forskere opdagede, at Bronx Libanon server, der havde været udsat for dette fælles, at brugeren begår fejl.
Ved hjælp af Shodan—en søgemaskine, der gennemgår ikke kun hjemmesider, men alle netværksenheder—forskere har opdaget, at der vil til diæt Løsninger forlod standard for Rsync-port (873) usikrede. Filen nedenfor viser mapper tilsyneladende for forskellige afdelinger af hospitalet, herunder kirurgi, psykiatri, kardiologi, pulmonology, og meget mere.
Ifølge Bob Diachenko, en cybersecurity specialist på Kromtech, en af de mapper, opdagede online, som ikke er krypteret—indeholdt mere end 300 af tekst-filer, med filstørrelser spænder fra 4MB at 473MB. En enkelt fil af gennemsnitlig størrelse (34MB), der er indeholdt i den medicinske data for mere end 7.000 patienter.
Hvis vi gør en lille konvolut matematik, er det ikke svært at se, hvorfor denne lækage kan være af en sådan bekymring. En 34MB tekst fil vil indeholde groft 29,000 sider, eller et gennemsnit på fire sider per patient.
I sidste ende, er det et væld af optegnelser, men antallet af patienter, der er ramt er kendt for kun at vil til diæt og Bronx Libanon. Skøn Kromtech sige, at der er mindst titusinder. De data, filer, der kun går tilbage til 2014, men det er ukendt, om ældre medicinske registre kan have været digitaliseret og overført det pågældende år. Filer for de samme patienter kan også være indeholdt i flere mapper.
Gizmodo begyndte at placere opkald til Bronx Libanon på tirsdag, men den ansatte der tog telefonen sagde, at de var ikke autoriseret til at diskutere brud. Hospitalets erklæring, at der er sket en “uautoriseret hack,” ankom onsdag.
Sikkerhed forskere er ofte beskyldt for at være “hackere”, når du kontakter tilfældige virksomheder til at rapportere fejl i deres sikkerhed. Desværre, dette har også været tilfældet på Kromtech, selv om i de sidste år har bidraget til at sikre utallige brud på USA-baserede virksomheder.
I Marts, Kromtech rapporteret, at mere end 400.000 audio-optagelser af opkald, havde været udsat online, herunder mange i som kunder, forudsat følsomme oplysninger, såsom kreditkortoplysninger. En måned før, de forskere, der bidrog til at sikre de personlige data fra næsten 25.000 mennesker i Californien pladesmede. Før det, var en af Missouri sheriff ‘ s office, som uforvarende havde lækket lydoptagelser af meddelere af ofre, der er involveret i forbrydelser, der er så alvorlig, som børnemisbrug.
Det kan også være tilfældet, at ved den tid, Kromtech rapporterede brud vil til diæt Innovationer, har de data, der allerede er blevet stjålet af en anden. At ville øge risikoen for identitetstyveri, eller endnu værre at patienterne i Bronx Libanon.
På torsdag, et hospital, talsmand kaldet til at sige, at det var at stikke af “uautoriseret hack” historie, der tilbydes af vil til diæt. Spurgte om retsmedicinsk bevismateriale, der er indsamlet af Kromtech, som synes at modsige vil til diæt ‘ s version af begivenhederne, talsmand to gange svarede: “Vi står ved vores udtalelse.”
Hvis du har været patient på Bronx-Lebanon Hospital Center, ville jeg gerne høre fra dig: dell@gizmodo.com