Informe: Milers de registres farmacèutics filtrats en una possible violació de l’IPIPA

L’equip d’investigació de vpnMentor ha descobert una filtració en una base de dades sobre el medicament amb recepta Vascepa.

L’equip de recerca, dirigit per Noam Rotem i Ran Locar, va trobar diversos conjunts dades no certificades i no xifrades sobre Vascepa. Vascepa, un suplement de prescripció que ajuda a disminuir els triglicèrids. Sembla que el medicament l’utilitza més 78.000 pacients.

Les dades inclouen informació completa identificativa dels més de 78.000 pacients que prenen la medicació. Una segona base de dades amb informació de transaccions també estava disponible.

Les dades del pacient inclouen noms dels pacients, adreces, números de telèfon, i adreces de correu electrònic. A més, podem accedir a la informació de transacció que registra el document metge prescriptor, seus Número de NPI, i la informació de la farmàcia.

Les dades es van trobar mitjançant una base de dades MongoDB configurada de manera inadequada, que es va deixar oberta i exposada per permetre l’accés de qualsevol a Internet. Creiem que la base de dades pot pertànyer a ConnectiveRX uns dies després de descobrir-los. Després els vam contactar per alertar-los de la fuga.

El 18 de juny, vam rebre un missatge de Twitter de David Yakimischak, el CTO de ConnectiveRx. Va escriure: “La base de dades a la qual es fa referència en l’article dels mitjans de comunicació recent no és una base de dades a la qual mantenim o fins i tot hi tenim accés. No utilitzem mai aquest sistema de gestió de bases de dades per a cap dels nostres programes. “

Exemples d’entrades a la base de dades

Vascepa és un medicament de recepta fabricat per Amarin. El medicament, destinat a ajudar a disminuir els triglicèrids alts, se’n pren més 78.000 pacients. En base a l’incompliment de la base de dades que hem trobat, sabem que n’hi ha hagut 390.000 operacions més de Vascepa.

El medicament és únic en la mesura que disminueix els triglicèrids sense augmentar el LDL del pacient ni el colesterol dolent. Vascepa destaca d’altres suplements Omega-3 per la seva manca de DHA, un àcid gras Omega-3 que ha demostrat que augmenta el LDL. Només està disponible amb recepta mèdica.

Dades incloses a l’incompliment

Informació al pacient

  • Nom complet
  • adreça
  • Número de telèfon
  • Correu electrònic

Informació de transacció

  • Identificador de farmàcia
  • Nom de la farmàcia
  • Adreça de farmàcia
  • Doctor prescriptor
  • Número de NPI (identificador de proveïdor nacional)
  • Identificador de membre
  • Número de perfil de la NABP (Associació Nacional de Juntes de Farmàcia)

Podem veure a partir de les dades anteriors que els pacients informació completa identificativa és fàcilment accessible a la base de dades. Amb el seu nom i adreça, és fàcil trobar una gran quantitat d’informació sobre ells. Sobretot, n’hi ha codis d’identificació per a dues altres empreses, Constant Contact, una plataforma de màrqueting de correu electrònic i PSKW, el nom legal d’un programa de recepta electrònica, ConntectiveRX.

Sospitem que la base de dades pot ser pertanyen a ConnectiveRX, donada la consistència de les etiquetes a les dades. Tanmateix, només hem trobat dades relatives a les prescripcions de Vascepa, cosa que fa menys clar on es va originar la filtració.

Tenir accés a una llista completa de números de telèfon mòbil i adreces de correu electrònic és una invitació per a atac.

Aquest segon exemple prové d’una segona base de dades. Tenim 391,649 transaccions de compra per Vascepa. La informació emmagatzemada en transaccions inclou tota la informació sobre la documentació farmàcies on es va omplir la recepta. Això inclou el número del perfil electrònic del farmacèutic, que realitza un seguiment de les receptes que omplen, entre altres coses.

A més, disposem de la informació completa del receptor. Això inclou els seus el nom complet, el tipus de llicència mèdica que tenen, l’adreça de la seva pràctica i els seus números de NPI.

Impacte de la incomplicació de dades

Dades de salut com la que es va filtrar de la base de dades de Vascepa semblen estar sota el paraigua de informació recollida per la Regla de privadesa de HIPAA. Sota aquesta regla, la informació del pacient, fins i tot en una indústria associada, no s’ha de publicar amb cap identificador, a menys que el pacient ho acordi.

Els registres mèdics són protegit de l’accés públic per assegurar la privacitat i seguretat del pacient. N’hi pot haver molts greus conseqüències si es comparteixen antecedents mèdics sense el consentiment d’una persona. Es poden enfrontar discriminació d’una feina o es troben enmig d’un conflicte familiar. Moltes persones poden trobar vergonyoses les seves històries mèdiques. En alguns casos, l’historial mèdic s’utilitza com a xantatge. Mantenir les dades de salut protegides pot mantenir els pacients més segurs a la llarga.

Com veiem a les dades anteriors, tenir una adreça de correu electrònic o un número de telèfon d’un pacient és una manera senzilla d’iniciar un atac massiu d’espam o programari maliciós.  L’accés a la informació sanitària privada d’un pacient facilita la comissió d’efectes de frau. En aquest cas, no tenim cap enllaç directe entre el pacient i el seu receptor, però es pot utilitzar aquesta informació per enganyar un pacient si algú el trobava.

També hi ha la possibilitat que algú que ho hagi trobat a la informació del metge pugui utilitzar-lo malament i que hagi entès el procediment per sol·licitar la consulta i omplir les receptes. A mesura que es fa més popular la prescripció electrònica, les farmàcies han adoptat l’autenticació de múltiples factors per evitar el frau de la recepta, sobretot quan es tracta de substàncies controlades.

Els incompliments de dades en la indústria assistencial són cada cop més habituals. Per tant, la ciberseguretat és un problema urgent a totes les indústries. La freqüència amb què s’ha produït una fuga de dades de salut l’adopció de nous estàndards de seguretat per a les empreses sanitàries que treballin amb bases de dades en línia.

Un dels principals requisits és que tot plegat les dades emmagatzemades a la base de dades s’han de xifrar. D’aquesta manera, encara que es filtri, les dades no haurien de ser llegibles. Com podem veure en el cas de Vascepa, no hi havia cap nivell de xifrat que protegís aquesta informació sensible. HIPAA ofereix a les empreses que treballen amb dades mèdiques virtuals una llista de comprovació per complir la seguretat.

Empreses sanitàries que sí patir un incompliment de dades pot afrontar multes severes, segons quina negligència en siguin culpables. Segons la norma d’aplicació de l’HIPAA, fins i tot “una vulneració atribuïda a la ignorància pot atraure una multa de 100 $ – 50.000 dòlars ″ per violació.

Aquestes són només les conseqüències del compliment de l’APIPA. Quan es produeixen filtracions, les empreses encara poden enfrontar-se a demandes civils de les víctimes de les fuites per sobre de les sancions financeres. Dues de les raons més habituals de les multes són la de no tenir protecció als registres de pacients i no tenir mesures de seguretat adequades per protegir els registres electrònics..

Assessorament dels experts

Vascepa podria haver impedit fàcilment un incompliment de dades d’aquest tipus diverses mesures bàsiques de seguretat. Els següents consells són alguns passos bàsics per evitar o associar una fuga en una base de dades.

  1. Assegureu els servidors.
  2. Implanta unes regles d’accés adequades.
  3. No deixeu mai un sistema que no requereixi autenticació oberta a Internet.

Per obtenir una guia més detallada sobre com protegir el vostre negoci, consulteu com protegir el vostre lloc web i la base de dades en línia dels pirates informàtics.

Com i per què vam descobrir l’incompliment

Aquesta filtració es troba com a part de la nostra gran escala projecte de mapeig web. Ports d’escaneig Ran i Noam que busquen blocs IP coneguts. Un cop hagin descobert aquests blocs, els podran fer servir buscar forats al sistema d’un lloc web.

Quan troben dades filtrades, utilitzen diverses tècniques expertes per fer-ho verificar la identitat de la base de dades. Nosaltres doncs alertar l’empresa de l’incompliment. Si és possible, també avisarem els afectats per l’incompliment. L’objectiu del projecte és ajudar fer que Internet sigui més segur per a tots els usuaris.

Quant a nosaltres i informes anteriors

vpnMentor és el lloc web de revisió VPN més gran del món. El nostre laboratori de recerca és un servei professional que pretén aconseguir-ho ajudar la comunitat en línia a defensar-se contra les amenaces cibernètiques alhora que eduquen a les organitzacions a la protecció de les dades dels seus usuaris.

Recentment hem descobert un enorme incompliment de dades que afectava a 80 milions de llars nord-americanes. També vam revelar que Gearbest va experimentar un incompliment massiu de dades. També pot ser que vulgueu llegir el nostre Informe de filtracions de VPN i les estadístiques de privadesa de dades.

Per favor comparteix aquest informe a Facebook o tuiteu-lo.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me