Ziņojums: Simtiem tūkstošu lietotāju (ieskaitot ASV veterānus) noplūduši medicīniskie dati


vpnMentor pētījumu komanda ir atklājusi pārkāpumu xSocialMedia datu bāzē.

Noam Rotem un Ran Locar, mūsu vadošie kiberdrošības pētnieki, atklāja ievainojamības vairākas datu bāzes, kuras pārvalda xSocialMedia. Gandrīz Tika atklāti 150,00 personiskie rekordi, bet tas nav viss, ko viņi atrada.

Tas ietvēra dziļi personiskas medicīniskas liecības, identificējošu informāciju un lietotāju kontaktinformāciju. Turklāt mums bija iespēja piekļūt a xSocialMedia rēķinu saraksts, klientu dati un precīzie viņu reklāmas kampaņu numuri, kas saistīti ar trauma-check.com.

XSocialMedia noplūde ļauj piekļūt vārdi, adreses, tālruņu numuri un slimības vēsture kurus nodrošināja viņu vadi.

Atklāšanas un reakcijas laika skala

  • 2. jūnijs: Mēs atklājām noplūdi xSocialMedia datu bāzē
  • 3. jūnijs: Pārkāpums tika saistīts ar xSocialMedia
  • 5. jūnijs: Mēs sazinājāmies ar xSocialMedia par pārkāpumu
  • 11. jūnijs: Mēs sazinājāmies ar xSocialMedia otro reizi
  • 11. jūnijs: xSocialMedia atbildēja
  • 11. jūnijs: Datu bāze tika slēgta

Ierakstu piemēri datu bāzē

xSocialMedia ir Facebook mārketinga aģentūra, kas koncentrējas uz medicīnisku pārkāpumu tiesas procesu kampaņu rīkošanu. Saskaņā ar viņu vietni viņi izveido Facebook reklāmas kampaņas Vairāk nekā 230 klientu. Viņu reklāmas ir ģenerējušas vairāk nekā 16 000 potenciālo pirkumu.

Reklāmas, kuras xSocialMedia ievieto Facebook, novirza lietotājus uz dažādiem “trauma-check.com” domēniem atkarībā no viņu īpašajām kaites. Piemēri ietver https://ied-fund.injury-check.com un https://ivcfilter-risk.injury-check.com. xSocialMedia ir uzskaitīti 10 dažādi advokātu ievainojumu veidi, ar kuriem viņi strādā.

Kad Facebook lietotāji ir ievadījuši kādu no traumām-check.com domēniem, viņi tiek aicināti aizpildīt veidlapu ar saviem medicīniskajiem datiem, lai noskaidrotu, vai viņi var saņemt juridisko palīdzību.

Mēs varējām piekļūt gandrīz 150 000 atbildes uz šīm formām.

Atklātajos datos ietilpst:

  • Vārds un uzvārds
  • Epasta adrese
  • ielas adrese
  • Telefona numurs
  • IP adrese
  • Traumas apstākļi
  • Paskaidrojums par ievainojumu

Visi ieraksti ir atzīmēti ar “xsocial_submission_id ”, kas parāda, ka šie veidlapu iesniegumi bija nosūtīja tie, kas noklikšķināja uz vienas no Facebook reklāmām. Tā kā tagā nebija pilns uzņēmuma nosaukums, mums vajadzēja ilgāku laiku, lai datu pārkāpumu saistītu ar xSocialMedia kā noplūdes avotu..

Ievainojumi, kas aprakstīti datu bāzē, atšķiras cīnīties ar ievainojumiem, kurus guvuši amerikāņu veterāni uz traumām, ko izraisījis medicīniskās ierīces, pesticīdu lietošana, zāļu blakusparādības un nepilnīgi produkti zīdaiņiem.

Ziņojums: Simtiem tūkstošu lietotāju (ieskaitot ASV veterānus) noplūduši medicīniskie dati

Iepriekš minētais potenciāls parāda datus, ko iesniedza ASV veterāns aprakstot viņu kaujas traumas. Aprakstā par ievainojumiem, ko veterāns guvis kaujas laikā, viņi atstāja informāciju, kas, iespējams, netika izpausta nevienam citam. Piemēram, darba devēji var nezināt, ka darbinieks cieš no PTSS.

Ziņojums: Simtiem tūkstošu lietotāju (ieskaitot ASV veterānus) noplūduši medicīniskie dati

Šis iesniegums dziļi ietvēra privāti simptomi, kurus šī persona joprojām cieš operācijas rezultātā. Izmantojot datu bāzē sniegto informāciju, mēs viegli varēja atrast viņu sociālo mediju kontus un atrašanās vietu. Lai gan viņi savu adresi neiesniedza, pietiek ar IP adreses iekļaušanu atklāt viņu atrašanās vietu.

Tas arī deva mums ieskatu viņu nodarbinātības situācijā. Simptomi, ko šī persona joprojām cieš, varētu viegli sabojāt viņu profesionālo reputāciju.

Ziņojums: Simtiem tūkstošu lietotāju (ieskaitot ASV veterānus) noplūduši medicīniskie dati

Šis ir vēl viens ieraksts, ko sniedza veterāns. Tas attiecas uz gadījumu, kad nepareizi darbojas ausu aizbāžņi. Veterāna ievainojuma apmērs var nebūt tāds, ko viņi atklāj visiem.

xSocialMedia ne tikai noplūda privātus datus par viņu potenciālajiem pirkumiem. Viņu datu bāze arī noplūda viņu pašu bankas konta informācija rēķinu ierakstos, ko viņi nosūta klientiem.

Ziņojums: Simtiem tūkstošu lietotāju (ieskaitot ASV veterānus) noplūduši medicīniskie dati

Mēs arī varētu redzēt viņus klientu vārdu adreses, tālruņu numuri un e-pasta adreses. Liela daļa no tā ir publiska informācija, bet konkrētā summa, ko katrs uzņēmums maksā xSocialMedia, citādi netiktu atklāta.

Ar to neapstājas datu apjoms, kam viegli piekļūt, izmantojot xSocialMedia datu bāzi. Mēs varam redzēt vairāk nekā 300 dažādi klienti kuri vāc datus, lai izveidotu tiesas prāvas. Mēs varam apskatīt arī viņu vietņu formu kodu viņu Facebook reklāmu metrika. Lielākā daļa uzņēmumu neizpauž konkrētus datus par katru kampaņu.

Ziņojums: Simtiem tūkstošu lietotāju (ieskaitot ASV veterānus) noplūduši medicīniskie dati

Šeit mēs redzam, ko viņu rezultāti ir norādīti vienas vietnes kampaņā, Papildus naudas summu, ko klienti maksā par katru kampaņu.

Datu pārkāpumu ietekme

Šim datu pārkāpumam ir tālejošas sekas, it īpaši sensitīvo veselības datu dēļ, kas iekļauti xSocialMedia datu bāzē. Medicīniskā dokumentācija ir ļoti aizsargāta ASV ar HIPAA likumiem. Ārsti un citi veselības aprūpes sniedzēji bez rakstiskas atļaujas nevar publiskot identificējošu informāciju par saviem pacientiem.

Šie likumi var aizsargāt pacientu labklājību, viņu ģimenes un darbu. Veselības aprūpes pakalpojumu sniedzēji pat nevar apstiprināt pacientu uz ārēju pusi bez atbrīvošanas. Pacienti var uztraukties, ka, piemēram, ja viņu darba vietā bija brīva pieeja viņu medicīniskajai dokumentācijai, to varētu izmantot pret viņiem. Vienīgie dati, ko atļauts publiskot ārpus norādītajiem kanāliem, ir dati, kuriem nav pievienota identificējoša informācija.

Balstoties uz xSocialMedia datu bāzē ierakstītajām liecībām, daudzi no šiem cilvēkiem ierakstīja savus privātās medicīnas jautājumi. Iespējams, ka daži šos simptomus nav atklājuši nevienam, bet tikai ārstiem. Viņi var baidīties zaudēt darbu vai kā viņu draugi un ģimenes locekļi izturēsies pret viņiem, ja viņu simptomi bija zināmi sabiedrībā. Daži var uztraukties par to, ka ir kauns viņu veselības stāvokļa dēļ vai pat šantažēts.

Ne tikai tas, ka šie cilvēki var būt viegli izsekojama ar pievienoto identificējošo informāciju viņu liecībām. Slikts aktieris varētu ņemt šo informāciju un izmantot to, lai pārbaudītu šo cilvēku citu kontu drošību. Ņemot vērā veterānu skaitu ar detalizētu pārskatu par viņu ievainojumiem datu bāzē, teroristi varētu izmantot priekšrocības no viņu datiem, lai viņiem vēl vairāk kaitētu kā atriebības akts.

Cilvēki, kuri aizpildīja veidlapas, kas bija saistītas ar xSocialMedia reklāmām, jau bija cieš no medicīniskām problēmām kas izraisīja pietiekami daudz sāpes un traumas ka viņi meklēja juridisku palīdzību. Atklājot, ka viņu dati ir noplūduši bez atļaujas, viņu traumas var viegli papildināt.

xSocialMedia vajadzētu būt rūpējās par savu datu bāzu drošību pirms viņi sāka vākt privātu medicīnisku informāciju. Uz pašu firmu, iespējams, neattiecas HIPAA atbilstība, jo pacienti var brīvi izpaust savu veselības informāciju pusēm, kuras tās izvēlas. Tomēr šajā gadījumā daudzi pacienti negaidīja iespēju, ka viņu liecības varētu publiskot.

xSocialMedia īpaši koncentrē savas Facebook reklāmas kampaņas uz medicīnisko pārkāpumu nozare. Tas ir ētikas pārkāpums lai jau pašā sākumā nebūtu ieviesti augstāki drošības pasākumi.

Turklāt šī datu noplūde nekaitē tikai tiem, kas cieš no nepareizas medicīniskas prakses. Tas sāp arī xSocialMedia biznesu. Topošajiem advokātu birojiem var būt mazāk tendence sadarboties ar uzņēmumu, kas piedzīvoja tik plašu pārkāpumu. Turklāt, ja a konkurējošam mārketinga uzņēmumam ir piekļuve xSocialMedia metrikai, viņi to var izmantot savā labā.

Kā mēs atklājām pārkāpumu

vpnMentor pētniecības grupa pārkāpumu atklāja tīmekļa kartēšanas projekts. Ran un Noam vadībā komanda skenē ostas, meklējot pazīstamus IP blokus. Viņi izmanto šos blokus, lai atrastu caurumus uzņēmuma tīmekļa sistēmā. Kad šie caurumi ir atrasti, komanda meklē ievainojamības, kas varētu izraisīt datu pārkāpumu.

Izmantojot viņu zināšanas, viņi pārbaudiet datu bāzi, lai pārliecinātos par tās identitāti.

Kad esam atraduši noplūdi, mēs sazināmies ar uzņēmumu, lai viņus brīdinātu uz datu pārkāpumu. Kad iespējams, mēs paziņojam arī tiem, kurus skārusi noplūde. Mēs to darām, lai padarīt internetu drošāku visiem lietotājiem.

Ekspertu ieteikumi

No šīs datu noplūdes varēja viegli izvairīties. Uzņēmumi var ņemt vairāki pamata drošības pasākumi lai novērstu vai novērstu datu noplūdi, izmantojot šādus padomus:

  1. Nostipriniet savus serverus.
  2. Ieviesiet atbilstošus piekļuves noteikumus.
  3. Nekad neatstājiet internetam atvērtu sistēmu, kurai nav nepieciešama autentifikācija.

Lai iegūtu padziļinātu ceļvedi, kā aizsargāt savu biznesu, uzziniet, kā nodrošināt savu vietni un tiešsaistes datu bāzi no hakeriem.

Par mums un iepriekšējie ziņojumi

vpnMentor ir pasaulē lielākā VPN pārskatu vietne. Mūsu pētījumu laboratorija ir pro bono pakalpojums, uz kuru tiecas palīdzēt tiešsaistes kopienai sevi aizstāvēt pret kiberdraudiem, vienlaikus izglītojot organizācijas par savu lietotāju datu aizsardzību.

Nesen mēs atklājām milzīgu datu pārkāpumu, kas skāra 80 miljonus ASV mājsaimniecību. Mēs arī atklājām, ka Gearbest piedzīvoja apjomīgus datu pārkāpumus. Varat arī izlasīt mūsu ziņojumu par VPN noplūdi un datu privātuma statistiku.

Lūdzu dalīties ar šo ziņojumu Facebook vai čivināt to.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me