Raport: date medicale pierdute pentru sute de mii de utilizatori (inclusiv veterani din SUA)

Echipa de cercetare a vpnMentor a constatat o încălcare în baza de date xSocialMedia.

Noam Rotem și Ran Locar, cercetătorii noștri de securitate cibernetică, au descoperit vulnerabilități în baze de date multiple operate de xSocialMedia. Aproape Au fost expuse 150,00 înregistrări personale, dar nu toate acestea au găsit.

Aceasta a inclus mărturii medicale profund personale, informații de identificare și informații de contact pentru utilizatori. În plus, am putut accesa un lista facturilor xSocialMedia, datele clienților și numerele exacte din campaniile lor de publicitate pentru prejudiciu-check.com.

Scurgerea xSocialMedia permite accesul la nume, adrese, numere de telefon și istoric medical care au fost furnizate de conducerea lor.

Cronologia descoperirii și reacției

  • 2 iunie: Am descoperit scurgerea în baza de date a xSocialMedia
  • 3 iunie: A legat breșa înapoi la xSocialMedia
  • 5 iunie: Am contactat xSocialMedia în legătură cu încălcarea
  • 11 iunie: Am contactat xSocialMedia a doua oară
  • 11 iunie: xSocialMedia a răspuns
  • 11 iunie: Baza de date a fost închisă

Exemple de intrări în baza de date

xSocialMedia este o agenție de marketing Facebook care se concentrează pe derularea de campanii pentru procesele de malpraxis medical. Conform site-ului lor web, acestea creează campanii publicitare Facebook pentru 230+ clienți. Reclamele lor au generat peste 16.000 de oportunități.

Anunțurile pe care xSocialMedia le postează pe Facebook duc utilizatorii la o varietate de domenii „prejudiciu-check.com”, în funcție de afecțiunile lor specifice. Exemplele includ https://ied-fund.injury-check.com și https://ivcfilter-risk.injury-check.com. xSocialMedia listează 10 feluri diferite de avocați cu care lucrează.

După ce utilizatorii Facebook au intrat într-unul din domeniile prejudiciu-check.com, sunt încurajați să completeze un formular cu datele lor medicale pentru a vedea dacă se califică pentru asistență juridică.

Am putea accesa aproape 150.000 de răspunsuri la aceste forme.

Datele expuse includ:

  • Numele și prenumele
  • Adresa de email
  • adresa străzii
  • Numar de telefon
  • adresa IP
  • Circumstanțele vătămării
  • Explicații despre vătămare

Toate intrările sunt etichetate cu „xsocial_submission_id“, ceea ce demonstrează că aceste cereri de formulare au fost trimise de cei care au dat clic pe una dintre reclamele Facebook. Deoarece eticheta nu a inclus numele companiei complete, a durat mai mult să conectăm încălcarea datelor la xSocialMedia ca sursă a scurgerii.

Leziunile descrise în baza de date variază de la combate vătămările suferite de veteranii americani la leziunile cauzate de dispozitive medicale, consum de pesticide, reacții adverse la medicamente și produse defecte pentru copii.

Prezentarea principală arată datele pe care le-a transmis un veteran american descriind leziunile lor de luptă. În descrierea rănilor pe care veteranul le-a suferit în timpul luptei, au lăsat informații care poate nu au fost dezvăluite nimănui altcuiva. Angajatorii, de exemplu, pot să nu știe că un angajat suferă de PTSD.

Această comunicare a inclus profund simptome private de care această persoană încă suferă ca urmare a intervenției chirurgicale. Utilizarea informațiilor furnizate în baza de date, am putea găsi cu ușurință conturile de socializare și locația lor. Deși nu și-au prezentat adresa, includerea unei adrese IP este suficientă pentru a le descoperi locația.

Acest lucru ne-a oferit și o perspectivă asupra situației lor de angajare. Simptomele de care suferă încă această persoană ar putea să-și strice reputația profesională.

Iată o altă intrare care a venit de la un veteran. Acesta este pentru un caz în legătură cu dopurile de urechi care funcționează defectuos. Măsura vătămării veteranului nu poate fi o informație pe care o dezvăluie tuturor.

xSocialMedia nu a eliminat doar datele private cu privire la oportunitățile lor. Baza lor de date au scurs informațiile proprii ale contului bancar în înregistrările facturii pe care le trimiteau clienților.

Le-am putut vedea și pe ale lor adresele clienților, numerele de telefon și adresele de e-mail. O mare parte din acestea sunt informații publice, dar suma specifică pe care fiecare companie o plătește xSocialMedia nu ar fi dezvăluită altfel.

Cantitatea de date care este ușor accesată prin baza de date xSocialMedia nu se oprește aici. Putem vedea mai mult decât 300 de clienți diferiți care colectează date pentru a construi procese. Putem vedea codul pentru formularele site-ului lor web, precum și valori pentru anunțurile lor pe Facebook. Majoritatea companiilor nu dezvăluie valori specifice pe campanie.

Aici, putem vedea ce rezultatele acestora sunt pe campanie de site-uri web, pe lângă suma de bani pe care clienții lor o plătesc pentru fiecare campanie.

Impactul încălcării datelor

Această încălcare a datelor are consecințe de anvergură, în special din cauza datelor de sănătate sensibile incluse în baza de date xSocialMedia. Fișele medicale sunt puternic protejate în SUA prin legile HIPAA. Practicanții și alți furnizori de servicii medicale nu pot elibera informații de identificare despre pacienții lor fără permisiunea scrisă.

Aceste legi pot protejați bunăstarea pacienților, familiile lor și locurile de muncă. Furnizorii de servicii medicale nu pot nici măcar să confirme un pacient la o parte exterioară fără eliberare. Pacienții se pot îngrijora că, dacă locul de muncă, de exemplu, ar avea acces deschis la registrele medicale, acesta ar putea fi folosit împotriva lor. Singurele date care pot fi eliberate în afara canalelor desemnate sunt datele care nu au atașate informații de identificare.

Pe baza mărturiilor înregistrate în baza de date a xSocialMedia, multe dintre aceste persoane înregistrau-le probleme medicale private. Este posibil ca unii să nu fi dezvăluit aceste simptome nimănui decât medicilor lor. S-ar putea să se teamă să-și piardă locul de muncă sau cum îi vor trata prietenii și familia lor dacă simptomele lor erau cunoscute de public. Unii s-ar putea să vă îngrijoreze de a fi rusinat pentru condițiile lor medicale, sau chiar șantajată.

Nu numai că, acești oameni pot fi ușor urmărită de informațiile de identificare atașate la mărturiile lor. Un actor rău ar putea să ia aceste informații și să le poată folosi pentru a testa securitatea celorlalte conturi ale acestor persoane. Având în vedere numărul de veterani cu conturi detaliate ale rănilor lor în baza de date, teroriștii ar putea profita din datele lor pentru a le dăuna mai departe ca și un act de răzbunare.

Persoanele care au completat formularele legate în anunțurile xSocialMedia au fost deja suferind de probleme medicale asta a cauzat suficient durere și traume că căutau ajutor juridic. Descoperirea faptului că datele lor au fost scurse fără permisiune, puteți adăuga cu ușurință traumele lor.

xSocialMedia ar trebui să aibă a avut mai multă grijă să își asigure bazele de date inainte de a incepe colectarea de informatii medicale private. Firma în sine nu poate fi supusă conformității HIPAA, deoarece pacienții sunt liberi să-și dezvăluie informațiile de sănătate părților care le aleg. Cu toate acestea, în acest caz, multe pacienții nu se așteptau la posibilitatea ca mărturiile lor să poată fi făcute publice.

xSocialMedia își concentrează în mod specific campaniile de anunțuri Facebook pe industria de malpraxis medical. E o încălcarea eticii să nu existe măsuri de securitate mai mari de la început.

În plus, această scurgere de date nu îi afectează doar pe cei care suferă de malpraxis medical. Rătăcește și afacerea xSocialMedia. Viitoarele firme de avocatură pot fi mai puțin înclinate să lucreze cu o companie care a cunoscut o încălcare atât de răspândită. În plus, dacă a compania rivală de marketing are acces la valorile xSocialMedia, ei pot folosi asta pentru propriul câștig.

Cum am descoperit încălcarea

Echipa de cercetare a vpnMentor a constatat încălcarea un proiect de mapare web. Condusă de Ran și Noam, echipa scanează porturile care caută blocuri IP familiare. Ei folosesc aceste blocuri pentru a găsi găuri în sistemul web al unei companii. Odată depistate aceste găuri, echipa caută vulnerabilități care să le conducă la o încălcare a datelor.

Folosindu-și expertiza, ei examinează baza de date pentru a-i confirma identitatea.

După ce am descoperit scurgerea, contactăm compania pentru a le avertiza la încălcarea datelor. Când este posibil, îi informăm și pe cei afectați de scurgere. Facem asta pentru face internetul mai sigur pentru toți utilizatorii.

Sfaturi ale experților

Această scurgere de date ar fi putut fi ușor evitată. Companiile pot lua mai multe măsuri de securitate de bază pentru a preveni sau corela o scurgere de date utilizând următoarele sfaturi:

  1. Asigurați-vă serverele.
  2. Implementați reguli de acces adecvate.
  3. Nu lăsați niciodată un sistem care nu necesită autentificare deschisă pe internet.

Pentru un ghid mai detaliat despre cum să vă protejați afacerea, verificați cum să vă asigurați site-ul și baza de date online de hackeri.

Despre noi și rapoarte anterioare

vpnMentor este cel mai mare site de revizuire VPN din lume. Laboratorul nostru de cercetare este un serviciu pro bono care se străduiește să facă ajută comunitatea online să se apere împotriva amenințărilor cibernetice în timp ce educă organizațiile cu privire la protejarea datelor utilizatorilor lor.

Recent am descoperit o încălcare uriașă a datelor care a afectat 80 de milioane de gospodării din SUA. De asemenea, am dezvăluit că Gearbest a cunoscut o încălcare masivă a datelor. De asemenea, poate doriți să citiți raportul nostru privind scăpările VPN și raportul cu statistici privind confidențialitatea datelor.

Vă rog împărtășește acest raport pe Facebook sau tweet-o.