Hesabat: Mümkün HIPAA pozuntusundan minlərlə dərman yazısı sızdı

vpnMentor`s araşdırma qrupu, resept dərmanı Vascepa aid bir məlumat bazasında bir sızma aşkarladı.

Noam Rotem və Ran Locarın rəhbərlik etdiyi tədqiqat qrupu bir neçə dəst tapdı Vascepa ilə əlaqədar təmin edilməmiş və şifrələnməmiş məlumatlar. Vascepa, aşağı trigliseridlərə kömək edən bir resept əlavəsi. Dərman daha çox istifadə etdiyi görünür 78.000 xəstə.

Məlumatlar daxildir 78,000+ xəstə üçün tam eyniləşdirici məlumat dərman qəbul edənlər. Əməliyyat məlumatları olan ikinci bir verilənlər bazası da mövcud idi.

Xəstə məlumatlarına daxildir xəstələrin adları, ünvanları, telefon nömrələri, və e-poçt ünvanları. Bundan əlavə, qeydləri yazan əməliyyat məlumatlarına daxil ola bilərik resept həkim, onların NPI nömrəsi, və aptek məlumatları.

Məlumatları səhvən düzəldilmiş MongoDB verilənlər bazası vasitəsi ilə tapdıq, açıq qalan və internetdə hər kəsin girməsinə icazə verildi. Hesab edirik ki, verilənlər bazası məlumatları aşkar etdikdən bir neçə gün sonra ConnectiveRX-a aid ola bilər. Daha sonra sızıntını xəbərdar etmək üçün onlarla əlaqə saxladıq.

İyun ayının 18-də, CTV ConnectiveRx-dən David Yakimischak-dən bir mesaj aldıq. O yazırdı: “Son media məqaləsində istinad edilən məlumat bazası, saxladığımız və ya daxil olduğumuz bir verilənlər bazası deyil. Bu verilənlər bazası idarəetmə sistemini heç bir proqramımız üçün istifadə etmirik. “

Verilənlər bazasına giriş nümunələri

Vascepa, Amarin tərəfindən istehsal olunan resept dərmanıdır. Yüksək yüksək trigliseridləri azaltmağa kömək edən dərman daha çox qəbul edilir 78.000 xəstə. Tapdığımız verilənlər bazası pozuntusuna əsaslanaraq, mövcud olduğunu bilirik 390,000+ əməliyyat Vascepa.

Dərman xəstələrdə LDL və ya pis xolesterolu artırmadan trigliseridləri azaldır. Vascepa, DHA olmaması halında digər Omega-3 əlavələrindən, LDL-ni artırdığı bir Omega-3 yağ turşusundan fərqlənir.. Yalnız reseptlə mümkündür.

Məlumat pozuldu

Xəstə haqqında məlumat

  • Tam adı
  • Ünvan
  • Mobil telefon nömrəsi
  • Elektron poçt ünvanı

Əməliyyat məlumatları

  • Aptek sənədi
  • Aptek adı
  • Aptek ünvanı
  • Doktor yazan
  • NPI nömrəsi (Milli Provider identifikatoru)
  • Üzv şəxsiyyəti
  • NABP Elektron Profilə Nömrəsi (Milli Dərman Dərnəkləri Assosiasiyası)

Yuxarıdakı məlumatlardan xəstələrin ‘ tam müəyyənləşdirən məlumat verilənlər bazasında asanlıqla əldə edilə bilər. Onların adı və ünvanı, onlar haqqında çoxlu məlumat tapmaq asandır. Diqqəti çəkənlər var digər iki şirkət üçün id kodları, Daimi əlaqə, bir e-poçt marketinq platforması və elektron resept proqramı üçün qanuni adı olan PSKW, ConntectiveRX.

Bazanın ola biləcəyindən şübhələnirik ConnectiveRX-ə aiddir, verilənlərin etiketlərinin ardıcıllığını nəzərə alaraq. Ancaq biz yalnız Vascepa reseptləri ilə əlaqəli məlumatları tapdıq, bu da sızıntının haradan başladığını daha az aydınlaşdırır.

Cib telefonu nömrələrinin və e-poçt ünvanlarının tam siyahısı ilə tanış olmaq hücum üçün bir dəvətdir.

Bu ikinci nümunə ikinci bir verilənlər bazasından gəlir. Bizdə var 391,649 alış əməliyyatı Vascepa üçün. Əməliyyatlar çərçivəsində saxlanılan məlumatlara aid olan bütün məlumatlar daxildir reseptin doldurulduğu apteklər. Bura daxildir eczacı üçün e-profil nömrəsi, digər şeylər arasında doldurduğu reseptləri izləyir.

Bundan əlavə reseptlə bağlı tam məlumatımız var. Bunlara da daxildir tam adı, sahib olduqları tibbi lisenziyanın növü, tətbiq edildiyi ünvan və NPI nömrələri.

Məlumatların pozulması təsiri

Vascepa verilənlər bazasından sızan şeylər kimi sağlamlıq məlumatları çətir altına düşmüş görünür HIPAA Məxfilik Qaydası ilə əhatə olunan məlumatlar. Bu qaydaya əsasən, Xəstə məlumatları, əlaqəli bir sənayedə də, heç bir identifikatorla birlikdə buraxılmamalıdır, xəstənin özləri tərəfindən razılaşdırılmadıqda.

Tibbi qeydlər var ictimai girişdən qorunur xəstənin gizliliyini və təhlükəsizliyini təmin etmək. Çox ola bilər tibbi tarix paylaşılırsa ağır nəticələr şəxsin razılığı olmadan. Üzləşə bilərlər bir işdən ayrı-seçkilik ya da ailə münaqişəsinin ortasında özlərini tapırlar. Bir çox insanlar tibbi tarixlərini çaşqın edə bilər. Bəzi hallarda tibbi tarix şantaj kimi istifadə olunur. Sağlamlıq məlumatlarını qoruyub saxlamaq olar xəstələri daha etibarlı saxlayın uzun qaçışda.

Yuxarıdakı məlumatlardan göründüyü kimi, bir xəstənin e-poçt ünvanına və ya telefon nömrəsinə sahib olmaq kütləvi spam və ya zərərli proqram hücumu başlamaq üçün asan bir yoldur.  Xəstənin şəxsi sağlamlıq məlumatlarına daxil olmaq, saxtakarlıq aktlarını asanlaşdırır. Bu vəziyyətdə xəstə ilə onların reseptoru arasında birbaşa əlaqəmiz yoxdur, ancaq bu məlumat kimsə tapmaq istəyərsə xəstəni azdırmaq üçün istifadə edilə bilər.

Həkimin məlumatlarını onu tapan və resept yazmaq və doldurma qaydasını başa düşən biri tərəfindən sui-istifadə edilə biləcəyi ehtimalı da var. Elektron resept daha populyarlaşdıqca, apteklərdə resept saxtakarlığının qarşısını almaq üçün, xüsusən də idarə olunan maddələrə gəldikdə, çox amil identifikasiyası tətbiq edilmişdir..

Səhiyyə sənayesində məlumat pozuntuları getdikcə çoxalır. Buna görə kiber təhlükəsizlik bütün sahələrdə aktual məsələdir. Sağlamlıq məlumatlarının sızması tezliyi onlayn məlumat bazaları ilə işləyən səhiyyə şirkətləri üçün yeni təhlükəsizlik standartlarının qəbul edilməsi.

Əsas tələblərdən biri hamısının olmasıdır verilənlər bazasında saxlanılan məlumatlar şifrələnməlidir. Bu yolla, sızsa da, məlumatlar oxunmamalıdır. Vascepa vəziyyətində gördüyümüz kimi, bu həssas məlumatları qoruyan şifrələmə səviyyəsi yox idi. HIPAA, virtual tibbi məlumatlarla işləyən şirkətlərə təhlükəsizlik uyğunluğunu yoxlamaq üçün bir siyahı təqdim edir.

Bunu edən səhiyyə şirkətləri Məlumat pozuntusuna məruz qaldıqda ciddi cəzalarla üzləşə bilərsiniz, nə qədər səhlənkar olduqlarından asılı olaraq. HIPAA icra qaydalarına görə, hətta “cəhalət ilə əlaqəli bir pozuntu da cəlb edilə bilər 100 – 50.000 ABŞ dolları məbləğində cərimə hər pozuntuya görə.

Bunlar yalnız HIPAA-nın özünü tətbiq etməsinin nəticələridir. Sızmalar meydana gəldikdə, şirkətlər hələ də mülki iddialarla üzləşə bilərlər sızma qurbanlarından maliyyə cəzaları üstünə. Cərimələrin ən çox yayılmış səbəblərindən ikisi xəstə qeydləri üçün qorunması və elektron qeydləri qorumaq üçün müvafiq təhlükəsizlik tədbirlərinin olmamasıdır..

Mütəxəssislərin tövsiyələri

Vascepa asanlıqla bu növ məlumat pozuntusunun qarşısını ala bilərdi bir neçə əsas təhlükəsizlik tədbirləri. Aşağıdakı göstərişlər bir verilənlər bazasında bir sızıntı qarşısını almaq və ya düzəltmək üçün bəzi əsas addımlardır.

  1. Serverlərinizi təhlükəsiz edin.
  2. Düzgün giriş qaydalarını tətbiq edin.
  3. Doğrulama tələb etməyən bir sistemi heç vaxt internetə buraxmayın.

İşinizi necə qorumaq barədə daha dərindən bələdçi üçün veb saytınızı və onlayn verilənlər bazasının hakerlərdən necə qorunacağına baxın.

Qəzanı necə və niyə kəşf etdik

Bu məlumatların sızmasını böyük miqyaslı bir hissəmizin bir hissəsi olaraq tapdıq veb Xəritəçəkmə layihəsi. Ran və Noam tarama limanları məlum IP bloklarını axtarır. Bu blokları aşkar etdikdən sonra onlardan istifadə edə bilərlər deşik axtarın veb sayt sistemində.

Sızan məlumatları tapdıqda, bir neçə ekspert üsulundan istifadə edirlər verilənlər bazasının kimliyini yoxlayın. Biz sonra pozuntu barədə şirkətə xəbərdarlıq edin. Mümkünsə, pozuntudan təsirlənənlərə də xəbərdar edəcəyik. Layihənin məqsədi kömək etməkdir İnterneti daha etibarlı hala gətirin bütün istifadəçilər üçün.

Haqqımızda və əvvəlki hesabatlar

vpnMentor dünyanın ən böyük VPN baxış veb saytıdır. Tədqiqat laboratoriyamız səy göstərən pro bono xidmətidir onlayn cəmiyyətin özünü müdafiə etməsinə kömək edin təşkilatların istifadəçilərinin məlumatlarını qorumağı öyrədərkən kiber təhdidlərə qarşı.

Bu yaxınlarda 80 milyon ABŞ ev təsərrüfatına təsir göstərən böyük bir məlumat pozuntusu aşkar etdik. Gearbest’in də kütləvi məlumat pozuntusu yaşadığını ortaya qoyduq. Ayrıca VPN Kaçak Hesabatı və Məlumat Gizlilik Statistikaları Hesabatımızı oxumaq istəyə bilərsiniz.

Xahiş edirəm bu hesabatı Facebook-da paylaşın və ya tweet edin.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me