Pranešimas: Tūkstančiai farmacijos įrašų nutekėjo dėl galimo HIPAA pažeidimo


„vpnMentor“ tyrimų komanda aptiko duomenų bazėje apie receptinį vaistą „Vascepa“ nutekėjimą.

Tyrimų komanda, vadovaujama Noamo Rotemo ir Ran Locaro, rado keletą rinkinių neužtikrinti ir nešifruoti duomenys apie Vascepa. Vascepa, recepto papildas, padedantis sumažinti trigliceridų kiekį. Panašu, kad narkotikų vartoja daugiau nei 78 000 pacientų.

Duomenys apima išsami identifikavimo informacija apie 78 000 pacientų kurie vartoja vaistus. Taip pat buvo prieinama antra duomenų bazė su operacijų informacija.

Į paciento duomenis įeina pacientų vardai, adresai, telefono numeriai, ir pašto adresus. Be to, mes galime pasiekti informaciją apie operaciją, kurioje užfiksuotas skiriantis gydytoją, jų NPI numeris, ir vaistinės informacija.

Duomenis radome per netinkamai sukonfigūruotą „MongoDB“ duomenų bazę, kuri buvo palikta atvira ir atskleista, kad bet kas galėtų prisijungti internete. Manome, kad duomenų bazė gali priklausyti „ConnectiveRX“ praėjus kelioms dienoms po duomenų atradimo. Tada mes susisiekėme su jais, kad įspėtume apie nutekėjimą.

Birželio 18 d. „Twitter“ pranešimą gavome iš „ConnectiveRx“ CTO vadovo Davido Yakimischako. Jis rašė: „Duomenų bazė, į kurią daroma nuoroda naujausiame žiniasklaidos straipsnyje, nėra duomenų bazė, kurią mes prižiūrime ar net turime prieigą. Niekada nenaudojame šios duomenų bazės valdymo sistemos jokioms savo programoms. “

Įrašų duomenų bazėje pavyzdžiai

Vascepa yra receptinis vaistas, kurį gamina Amarin. Vaisto, skirto sumažinti trigliceridų kiekį kraujyje, geria daugiau nei 78 000 pacientų. Remdamiesi duomenų bazės pažeidimu, mes žinome, kad jų buvo Daugiau nei 390 000 operacijų iš Vascepos.

Vaistas yra išskirtinis tuo, kad mažina trigliceridų kiekį nedidindamas paciento MTL ar blogojo cholesterolio. Iš kitų Omega-3 papildų Vascepa išsiskiria tuo, kad neturi DHA - Omega-3 riebalų rūgšties, kuri, kaip nustatyta, padidina MTL. Jis tiekiamas tik su receptu.

Duomenys įtraukti į pažeidimą

Informacija pacientui

  • Pilnas vardas
  • Adresas
  • Mobiliojo telefono numeris
  • Elektroninio pašto adresas

Informacija apie sandorius

  • Vaistinės ID
  • Vaistinės pavadinimas
  • Vaistinės adresas
  • Išrašė gydytoją
  • NPI numeris (nacionalinis teikėjo identifikatorius)
  • Vartotojo ID
  • NABP el. Profilio numeris (Nacionalinė vaistinių tarybų asociacija)

Pranešimas: Tūkstančiai farmacijos įrašų nutekėjo dėl galimo HIPAA pažeidimo

Iš aukščiau pateiktų duomenų matome, kad pacientų visa identifikavimo informacija yra lengvai prieinama duomenų bazėje. Su jų vardas ir adresas, nesunku rasti daug informacijos apie juos. Pažymėtina, kad yra ID kodai kitoms dviem įmonėms, „Constant Contact“, el. Pašto rinkodaros platforma ir PSKW, teisinis elektroninių receptų programos pavadinimas, „ConntectiveRX“.

Mes įtariame, kad duomenų bazė gali būti priklauso „ConnectiveRX“, atsižvelgiant į duomenų etikečių nuoseklumą. Tačiau mes radome tik duomenis apie Vascepa receptus, todėl neaišku, iš kur atsirado nutekėjimas.

Kvietimas pulti turėti prieigą prie viso mobiliųjų telefonų numerių ir el. Pašto adresų sąrašo.

Pranešimas: Tūkstančiai farmacijos įrašų nutekėjo dėl galimo HIPAA pažeidimo

Šis antrasis pavyzdys yra iš antrosios duomenų bazės. Mes turime 391,649 pirkimo operacijos pasižymėjo Vascepa. Sandoriuose saugoma informacija apima visą informaciją apie vaistinėse, kur buvo užpildytas receptas. Tai įtraukia vaistininko el. profilio numerį, kuris seka receptus, kuriuos jie užpildo, be kita ko.

Be to, mes turime visą informaciją gydytojui. Tai apima jų vardas, pavardė, medicininės licencijos rūšis, jų praktikos adresas ir NPI numeriai.

Duomenų pažeidimo poveikis

Panašu, kad sveikatos duomenys, pavyzdžiui, tai, kas nutekėjo iš Vascepa duomenų bazės, yra informacija, kuriai taikoma HIPAA privatumo taisyklė. Pagal šią taisyklę, Informacija pacientams, net susijusioje pramonėje, neturi būti atskleidžiama su jokiais identifikatoriais, nebent pats pacientas sutinka.

Medicininiai įrašai yra apsaugotas nuo prieigos visuomenei užtikrinti paciento privatumą ir saugumą. Gali būti daug sunkios pasekmės, jei dalijamasi ligos istorija be asmens sutikimo. Jie gali susidurti diskriminacija dėl darbo arba atsiduria šeimos konflikto viduryje. Daugeliui žmonių jų ligos istorija gali būti gėdinga. Kai kuriais atvejais medicinos istorija naudojama kaip šantažas. Saugoti sveikatos duomenis gali saugokite pacientus galų gale.

Kaip matome aukščiau esančiuose duomenyse, paciento el. pašto adreso arba telefono numerio turėjimas yra paprastas būdas inicijuoti masinį šlamšto ar kenkėjiškų programų išpuolį.  Prieiga prie asmeninės paciento sveikatos informacijos palengvina sukčiavimą. Šiuo atveju neturime tiesioginio ryšio tarp paciento ir jo paskyrusio gydytojo, tačiau ta informacija galėtų būti naudojama pacientui suklaidinti, jei kas nors jį surastų..

Taip pat yra tikimybė, kad gydytojo informacija gali būti netinkamai naudojama tam, kas ją surado ir suprato, kaip skambinti ir išrašyti receptus. Išpopuliarėjus e. Receptams, vaistinės priėmė kelių veiksnių autentifikavimą, kad būtų išvengta sukčiavimo receptais, ypač kai kalbama apie kontroliuojamas medžiagas..

Duomenų pažeidimai sveikatos priežiūros pramonėje tampa vis dažnesni. Taigi kibernetinis saugumas yra aktuali problema visose pramonės šakose. Sveikatos duomenų nutekėjimo dažnis lėmė naujų saugumo standartų priėmimas sveikatos priežiūros įmonėms, dirbančioms su internetinėmis duomenų bazėmis.

Vienas pagrindinių reikalavimų yra tas, kad visi Duomenų bazėje saugomi duomenys turi būti užšifruoti. Tokiu būdu, net jei nutekės, duomenys turėtų būti neįskaitomi. Kaip matome Vascepa byloje, šitos slaptos informacijos apsaugos šifravimo lygis nebuvo lygus. HIPAA siūlo įmonėms, kurios dirba su virtualiais medicininiais duomenimis, kontrolinį sąrašą, kaip užtikrinti saugumą.

Sveikatos priežiūros įmonės, kurios tai daro už duomenų pažeidimą gali sulaukti didelių baudų, atsižvelgiant į tai, kiek aplaidžiai jie kalti. Remiantis HIPAA vykdymo taisykle, net „pažeidimas, priskirtinas nežinomybei, gali patraukti 100–50 000 USD bauda ″ už pažeidimą.

Tai tik pačios HIPAA vykdymo pasekmės. Kai atsiranda nutekėjimų, bendrovės vis dar gali kreiptis į civilinius ieškinius nuo nukentėjusiųjų dėl nutekėjimo, neskaitant finansinių baudų. Dvi dažniausios baudos skyrimo priežastys yra tai, kad nėra pacientų įrašų apsaugos ir nėra tinkamų saugumo priemonių elektroniniams įrašams apsaugoti..

Ekspertų patarimai

Vascepa galėjo lengvai užkirsti kelią tokio pobūdžio duomenų pažeidimui kelios pagrindinės saugumo priemonės. Šie patarimai yra keli pagrindiniai žingsniai, siekiant užkirsti kelią ar užtaisyti nuotėkį duomenų bazėje.

  1. Apsaugokite savo serverius.
  2. Įgyvendinkite tinkamas prieigos taisykles.
  3. Niekada nepalikite internete atviros sistemos, kuriai nereikia autentifikavimo.

Norėdami gauti išsamesnį vadovą, kaip apsaugoti savo verslą, skaitykite, kaip apsaugoti svetainę ir internetinę duomenų bazę nuo įsilaužėlių.

Kaip ir kodėl mes nustatėme pažeidimą

Mes nustatėme, kad šis duomenų nutekėjimas yra mūsų didelės apimties dalis interneto žemėlapių projektas. „Ran“ ir „Noam“ nuskaitymo prievadai, ieškantys žinomų IP blokų. Atradę šiuos blokus, jie gali jais naudotis ieškoti skylių svetainės sistemoje.

Radę neskelbtinus duomenis, jie naudoja keletą ekspertų metodų patikrinkite duomenų bazės tapatybę. Mes tada įspėti įmonę apie pažeidimą. Jei įmanoma, įspėsime ir tuos, kuriems padarytas pažeidimas. Projekto tikslas yra padėti padaryti internetą saugesnį visiems vartotojams.

Apie mus ir ankstesnės ataskaitos

„vpnMentor“ yra didžiausia pasaulyje VPN peržiūros svetainė. Mūsų tyrimų laboratorija yra pro bono tarnyba, kurios siekia padėti internetinei bendruomenei apsiginti kovojant su kibernetinėmis grėsmėmis ir mokant organizacijas saugoti savo vartotojų duomenis.

Neseniai aptikome didžiulį duomenų pažeidimą, paveikiantį 80 milijonų JAV namų ūkių. Taip pat atskleidėme, kad „Gearbest“ patyrė didžiulį duomenų pažeidimą. Taip pat galbūt norėsite perskaityti mūsų VPN nutekėjimo ataskaitą ir duomenų privatumo statistikos ataskaitą.

Prašau pasidalykite šia ataskaita „Facebook“ arba tweet tai.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me