Foto: Getty
Die Undichtigkeiten sind nie endenden; aber natürlich, einige sind empfindlicher als andere.
Einige von 145.000 Patienten hatten Ihre geschützten Gesundheitsinformationen ausgesetzt in dem, was nur der neueste von vielen großen Lecks von sensiblen medizinischen Unterlagen in den letzten Jahren, nach der Sicherheitsforscher Justin Paine, director of trust and safety bei Cloudflare.
In einem post auf seinem persönlichen blog am Freitag (zuerst berichtet von CNET), Paine sagte, dass er ausgegraben eine fülle von persönlich identifizierbaren Informationen, die verlassen wurde öffentlich bloßgestellt, indem Sie eine sucht-recovery-Behandlung-center. Rund 4,91 Millionen Dokumente zugänglich waren, um praktisch jeder, der wusste, wo es zu suchen.
Die Dateien identifiziert, die Patienten und die Art der Behandlung, die Sie erhalten hatte, sagte er.
Paine identifiziert die Quelle der Exposition als Schritte Zur Wiederherstellung, eine Klinik mit Sitz in Levittown, Pennsylvania. Gizmodo hat nicht überprüft die Daten selbst; jedoch Paine schrieb, dass es gesichert, nachdem er streckte die Hand aus in die Klinik. Schritte zur Erholung nicht sofort reagieren auf eine Anfrage für Kommentar.
“Angesichts der Stigmatisierung, der Sie umgibt, sucht dies ist fast sicher nicht die Informationen, die die Patienten leicht zugänglich zu machen”, sagte Paine, der berichtet, entdecken Sie die Dateien mit Shodan, eine Suchmaschine beliebt bei Sicherheit shops, weil es automatisch Indizes Servern und anderen Geräten mit dem internet verbunden.
Er sagte auch, zusätzliche Informationen über Patienten war leicht zu finden mit Google. Für einen zufällig ausgewählten Patienten, Paine geschafft, zu erwerben, die Ihrem Alter, Geburtsdatum, Adresse und Namen der Familienmitglieder, zusammen mit möglichen Telefonnummern und E-Mail-Adressen, von denen Sie erreicht werden könnte.
“Die Namen der beiden Indizes deuten diese Datenbank wurde genutzt, für Zwecke der Abrechnung”, sagte data breach hunter Greg Pollock, vice president of product bei UpGuard, eine Kalifornien-basierte security-Unternehmen. “Es ist üblich, um zu sehen, persönliche Informationen behandelt, weniger sorgfältig, wenn es dachte, wie die Zugehörigkeit zu einer business-Funktion, wo die Sicherheit von Informationen ist weniger ein Problem (wie billing) eher als eine Funktion, wo Sicherheitsmaßnahmen sind vordere des Verstandes (wie die Speicherung von persönlichen Gesundheitsinformationen).”
“Es gibt keine solche Sache wie Metadaten,” fügte er hinzu. “Metadaten über Menschen, die medizinische Dienstleistungen und medizinische Daten.”
Jonathan Cran, head of Research bei Kenna Sicherheit, sagte, die Nachricht von dem Leck kam als keine überraschung, ruft es nur das jüngste Beispiel für eine solche Fahrlässigkeit. “Aufgrund der hohen Sensibilität der Daten, diese Verletzung macht den Patienten zu erpressen, Verlegenheit, und vielleicht bringt Sie Ihren Lebensunterhalt oder den persönlichen Beziehungen in Gefahr”, warnte er mich.
Gizmodo hat bereits berichtet über ähnliche Expositionen in der medizinischen Industrie. Im Jahr 2017, zum Beispiel, eine Fundgrube von Zehntausenden von hospital records online zugespielt; einschließlich der sozialen Sicherheit zahlen und Aufzeichnungen von medizinischen Diagnosen und Behandlungen. Die Aufzeichnungen gehörten zu den Patienten des Bronx-Lebanon Hospital Center in New York, ausgesetzt waren, von einer Dritten Partei, eines medizinischen IT-Unternehmen.
Später in diesem Jahr schätzungsweise 150.000 Patienten, die ausgesetzt wurden, nach einem home-monitoring-Unternehmen Links Ihre persönlichen Informationen, einschließlich Diagnosen und Testergebnisse, ungesichert.
“Wir haben gesehen, aus Erster Hand, dass die healthcare-Industrie Kämpfe mit den grundlegenden Sicherheits-Praktiken,” Cran sagte.
Paine sagte, dass er hofft Schritte zur Erholung wird bald erkennen die Verletzung und Maßnahmen ergreifen, um unverzüglich seine Patienten, obwohl er fügte hinzu, dass etwa ein Monat war bereits vergangen.
“Ich fand das Daten-Leck-rein zufällig, sondern eine bösartige person hätte auch die gleichen Daten, und eventuell verwendete es als Teil der Identität Diebstahl”, sagte er.
[Justin Paine via CNET]
Teilen Sie Diese Geschichte