Informe: es van filtrar dades mèdiques per a centenars de milers d’usuaris (inclosos els veterans nord-americans)


L’equip de recerca de vpnMentor ha trobat un incompliment en la base de dades xSocialMedia.

Noam Rotem i Ran Locar, els nostres principals investigadors en ciberseguretat, van descobrir vulnerabilitats en diverses bases de dades operades per xSocialMedia. Gairebé Es van exposar 150,00 registres personals, però no és tot el que han trobat.

Va incloure testimonis mèdics profundament personals, informació identificativa i informació de contacte per als usuaris. A més, hem pogut accedir a llista de les factures de xSocialMedia, les dades dels clients i els números exactes de les seves campanyes publicitàries per a lesió-check.com.

La filtració xSocialMedia permet accedir a noms, adreces, números de telèfon i antecedents mèdics que els proporcionaven els seus serveis.

Cronologia del descobriment i la reacció

  • 2 de juny: Hem descobert la filtració a la base de dades de xSocialMedia
  • 3 de juny: Va tornar a relacionar la bretxa a xSocialMedia
  • 5 de juny: Hem contactat amb xSocialMedia sobre l’incompliment
  • 11 de juny: Hem contactat xSocialMedia per segona vegada
  • 11 de juny: xSocialMedia ha respost
  • 11 de juny: La base de dades es va tancar

Exemples d’entrades a la base de dades

xSocialMedia és una agència de màrqueting de Facebook que es centra en la realització de campanyes per a demandes de negligència mèdica. Segons el seu lloc web, creen campanyes d’anuncis de Facebook per a 230+ clients. Els seus anuncis han generat més de 16.000 clients.

Els anuncis que xSocialMedia publiquen a Facebook condueixen als usuaris a una varietat de dominis “lesions-check.com”, depenent de les seves malalties específiques. Els exemples inclouen https://ied-fund.injury-check.com i https://ivcfilter-risk.injury-check.com. xSocialMedia enumera 10 tipus diferents d’advocats amb lesions amb què treballen.

Una vegada que els usuaris de Facebook han entrat en un dels dominis de lesions-check.com, se’ls convida a omplir un formulari amb les seves dades mèdiques per veure si poden acollir-se a l’assistència legal..

Podríem accedir a gairebé 150.000 respostes a aquestes formes.

Les dades exposades inclouen:

  • Nom i cognoms
  • Correu electrònic
  • adreça
  • Número de telèfon
  • adreça IP
  • Circumstàncies de la lesió
  • Explicació sobre la lesió

Totes les entrades estan etiquetades amb “xsocial_submission_id ”, cosa que demostra que aquests enviaments foren enviats per qui va fer clic en un dels anuncis de Facebook. Com que l’etiqueta no incloïa el nom de l’empresa complet, ens va trigar més a tornar a relacionar la bretxa de dades a xSocialMedia com a origen de la filtració..

Les lesions descrites a la base de dades varien de combat les lesions que van patir els veterans nord-americans a les lesions causades per dispositius mèdics, consum de pesticides, efectes secundaris de medicaments i productes per a nadons defectuosos.

L’avantatge anterior mostra les dades que va presentar un veterà nord-americà descrivint les seves ferides de combat. A la descripció de les lesions que va patir el veterà durant el combat, van deixar informació que potser no es va divulgar a ningú. Els empresaris, per exemple, potser no saben que un empleat pateix PTSD.

Aquest escrit va incloure profundament símptomes privats que aquesta persona segueix patint a causa de la seva cirurgia. Utilitzant la informació proporcionada a la base de dades, podríem trobar fàcilment els seus comptes i localització de xarxes socials. Tot i que no van presentar la seva adreça, la inclusió d’una adreça IP és suficient per descobrir la seva ubicació.

Això també ens va donar a conèixer la seva situació laboral. Els símptomes que pateix aquesta persona podrien arruïnar fàcilment la seva reputació professional.

Aquí hi ha una altra entrada que ha estat d’un veterà. Es tracta d’un cas sobre taps d’orella que no funcionen bé. L’extensió de la lesió del veterà pot no ser una cosa que divulguen a tothom.

xSocialMedia no acaba de filtrar dades privades sobre els seus principals clients. La seva base de dades també van filtrar la seva pròpia informació del compte bancari als registres de factura que envien als clients.

També podríem veure les seves adreces de noms dels clients, números de telèfon i adreces de correu electrònic. Bona part d’això és informació pública, però la quantitat específica que cada empresa paga xSocialMedia no seria revelada.

La quantitat de dades a les quals s’accedeix fàcilment a la base de dades de xSocialMedia no s’atura. En podem veure més que 300 clients diferents que recopilen dades per tal de crear demandes. Podem visualitzar el codi per als formularis del seu lloc web, així com mètriques dels seus anuncis a Facebook. La majoria de les empreses no divulguen mètriques específiques per campanya.

Aquí, podem veure què els seus resultats són per campanya del lloc web, a més de la quantitat de diners que paguen els seus clients per cada campanya.

Impacte de la incomplicació de dades

Aquest incompliment de dades té conseqüències molt importants, sobretot a causa de les dades de salut sensibles incloses a la base de dades de xSocialMedia. Els registres mèdics estan molt protegits als Estats Units per les lleis HIPAA. Els professionals i altres proveïdors sanitaris no poden publicar cap informació identificativa sobre els seus pacients sense permís escrit.

Aquestes lleis poden protegir el benestar dels pacients, les seves famílies i la seva feina. Els proveïdors d’assistència mèdica ni tan sols poden confirmar un pacient a una festa externa sense alliberament. Els pacients poden preocupar-se que si el seu lloc de treball, per exemple, tingués accés obert als seus registres mèdics, es podria utilitzar contra ells. Les úniques dades que es poden publicar fora dels canals designats són dades que no hi ha adjuntades cap informació identificativa.

A partir dels testimonis registrats a la base de dades de xSocialMedia, moltes d’aquestes persones estaven gravant qüestions mèdiques privades. Alguns poden no haver divulgat aquests símptomes a ningú més que als seus metges. Potser tenen por de perdre la feina o com els tractaran els seus amics i familiars si els seus símptomes eren de coneixement públic. Alguns poden preocupar-se de ser-ho avergonyit per les seves condicions mèdiques, o fins i tot xantatge.

No només això, aquestes persones poden ser fàcilment traçable per la informació identificativa que s’adjunta als seus testimonis. Un mal actor podria agafar aquesta informació i utilitzar-la per provar la seguretat dels altres comptes d’aquestes persones. Tenint en compte el nombre de veterans amb detalls detallats de les seves ferides a la base de dades, els terroristes podrien aprofitar de les seves dades per danyar-les encara més un acte de venjança.

Les persones que van omplir els formularis enllaçats als anuncis de xSocialMedia ja eren que pateix problemes mèdics això provocava prou dolor i trauma que buscaven ajuda jurídica. Descobrir que les seves dades es filtraven sense permís podríem afegir fàcilment al seu trauma.

xSocialMedia hauria de tenir es va tenir més cura de protegir les seves bases de dades abans de començar a recopilar informació mèdica privada. La signatura en sí pot no estar sotmesa al compliment de la HIPAA perquè els pacients són lliures de divulgar la seva informació de salut a les parts que triïn. Tot i això, en aquest cas, molts els pacients no esperaven la possibilitat que els seus testimonis poguessin ser publicats al públic.

xSocialMedia centra específicament les seves campanyes d’anuncis de Facebook a la web indústria de mala praxi mèdica. És un violació de l’ètica per no tenir mesures de seguretat més altes des del primer moment.

A més, aquesta fuga de dades no només afecta els que pateixen malversació mèdica. També fa mal als negocis de xSocialMedia. Els futurs despatxos d’advocats poden estar menys inclinats a treballar amb una empresa que ha experimentat un incompliment tan estès. A més, si a l’empresa de màrqueting rival té accés a les mètriques de xSocialMedia, poden utilitzar-ho per al seu propi guany.

Com vam descobrir l’incompliment

L’equip d’investigació de vpnMentor va detectar l’incompliment un projecte de mapeig web. Dirigit per Ran i Noam, l’equip escaneja ports buscant blocs IP familiars. Utilitzen aquests blocs per trobar forats al sistema web d’una empresa. Un cop trobats aquests forats, l’equip busca vulnerabilitats que els portin a un incompliment de dades.

Utilitzant la seva experiència, ells examina la base de dades per confirmar la seva identitat.

Un cop hem trobat la fuita, contactem amb l’empresa per avisar-los a l’incompliment de dades. Quan sigui possible, també avisem als afectats per la fuga. Això ho fem fer que Internet sigui més segur per a tots els usuaris.

Assessorament dels experts

Aquesta filtració de dades podria haver estat evitada fàcilment. Les empreses poden prendre diverses mesures bàsiques de seguretat per evitar o pegar una fuita de dades mitjançant els següents consells:

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu com protegir el vostre lloc web i la base de dades en línia dels pirates informàtics.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori de recerca és un servei professional que pretén aconseguir-ho ajudar la comunitat en línia a defensar-se contra les amenaces cibernètiques alhora que educen les organitzacions a la protecció de les dades dels seus usuaris.

Recentment hem descobert un enorme incompliment de dades que afectava a 80 milions de llars nord-americanes. També vam revelar que Gearbest va experimentar un incompliment massiu de dades. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Per favor comparteix aquest informe a Facebook o tuiteu-lo.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map