Raporti: Mijëra rekorde farmaceutike kanë zbuluar në shkelje të mundshme të HIPAA


Ekipi hulumtues i vpnMentor‘ ka zbuluar një rrjedhje në një bazë të dhënash në lidhje me recetën e mjekimit Vascepa.

Ekipi i hulumtimit, i udhëhequr nga Noam Rotem dhe Ran Locar gjetën disa grupe të dhëna të pasigurta dhe të pakriptuara në lidhje me Vascepa. Vascepa, një shtesë për recetë që ndihmon në uljen e triglicerideve. Ilaçi duket se përdoret nga më shumë se 78,000 pacientë.

Të dhënat përfshijnë informacione të plota identifikuese për 78,000+ pacientë të cilët marrin ilaçet. Një databazë e dytë me informacion mbi transaksionet ishte gjithashtu e disponueshme.

Të dhënat e pacientit përfshijnë emrat e pacientëve, adresat, numrat e telefonit, dhe adresat e postës elektronike. Për më tepër, ne mund të përdorim informacionin e transaksionit që regjistron mjeku që përshkruan, e tyre Numri i NPI, dhe informacioni i farmacisë.

Ne i gjetëm të dhënat përmes një baze të dhënash të konfiguruar në mënyrë të pahijshme MongoDB, e cila mbeti e hapur dhe e ekspozuar për të lejuar hyrjen nga kushdo në internet. Ne besojmë se baza e të dhënave mund t’i përkasë ConnectiveRX disa ditë pas zbulimit të të dhënave. Ne pastaj i kontaktuam ata për t’i paralajmëruar ata për rrjedhjen.

Më 18 qershor, morëm një mesazh në Twitter nga David Yakimischak, CTO i ConnectiveRx. Ai shkroi, “Baza e të dhënave e përmendur në artikullin e fundit të mediave nuk është një bazë e të dhënave për të cilën ne ruajmë apo madje kemi qasje. Ne nuk e përdorim atë sistem të menaxhimit të bazës së të dhënave për asnjë nga programet tona. “

Shembuj të hyrjeve në bazën e të dhënave

Vascepa është një ilaç pa recetë i prodhuar nga Amarin. Ilaçi, i destinuar për të ndihmuar në uljen e triglicerideve të larta, merret me më shumë se 78,000 pacientë. Bazuar në shkeljen e bazës së të dhënave që kemi gjetur, ne e dimë që ka pasur 390,000+ transaksione të Vascepa.

Ilaçi është unik në atë që ul trigliceridet pa ngritur LDL të një pacienti, ose kolesterol të keq. Vascepa dallon nga shtesat e tjera Omega-3 në mungesën e tij të DHA, një acid yndyror Omega-3 i cili është treguar se rrit LDL. Availableshtë në dispozicion vetëm me recetë.

Të dhëna të përfshira në shkelje

Informacione për pacientët

  • Emri i plotë
  • Adresë
  • Numrin e telefonit celular
  • Adresa e postës elektronike

Informacioni mbi transaksionin

  • ID e Farmacisë
  • Emri i farmacisë
  • Adresa e Farmacisë
  • Praktikimi i doktorit
  • Numri NPI (Identifikuesi Kombëtar i Providerit)
  • ID e Anëtarit
  • Numri E-Profile i NABP (Shoqata Kombëtare e Bordeve të Farmacisë)

Nga të dhënat e mësipërme mund të shohim se pacientët informacione të plota identifikuese është lehtësisht i arritshëm në bazën e të dhënave. Me tyre emrin dhe adresën, është e lehtë të gjesh një sasi të madhe informacioni rreth tyre. Veçanërisht, ka kode id për dy kompani të tjera, Kontakti i vazhdueshëm, një platformë e marketingut me email dhe PSKW, emri legal për një program elektronik të recetave, ConntectiveRX.

Ne dyshojmë se baza e të dhënave mund i përkasin ConnektRX, duke pasur parasysh konsistencën e etiketave në të dhëna. Sidoqoftë, ne gjetëm vetëm të dhëna në lidhje me recetat e Vascepa-s, gjë që e bën më pak të qartë se nga ka rrjedhë rrjedhja.

Të kesh hyrje në një listë të plotë të numrave të telefonave celularë dhe adresave të postës elektronike është një ftesë për sulm.

Ky shembull i dytë vjen nga një bazë e dhënash e dytë. Ne kemi 391,649 transaksione blerjeje për Vascepa. Informacioni i ruajtur nën transaksione përfshin të gjitha informacionet në lidhje me barnatore ku u mbush receta. Kjo perfshin numrin e e-profilin për farmacistin, i cili gjurmon recetat që ato plotësojnë, ndër të tjera.

Për më tepër, ne kemi informacionin e plotë për përshkruesin. Kjo përfshin të tyre emrin e plotë, llojin e licencës mjekësore që ata mbajnë, adresën e praktikës së tyre dhe numrat e tyre NPI.

Ndikimi i thyerjes së të dhënave

Të dhënat shëndetësore si ato që rrjedhin nga baza e të dhënave Vascepa duket se bien nën ombrellën e informacioni i mbuluar nga Rregulla e Intimitetit të HIPAA-s. Sipas këtij rregulli, informacioni për pacientët, madje edhe në një industri të lidhur, nuk duhet të lëshohet me ndonjë identifikues, përveç nëse bien dakord nga vetë pacienti.

Të dhënat mjekësore janë mbrojtur nga aksesi publik për të siguruar privatësinë dhe sigurinë e pacientit. Mund të ketë shumë pasoja të rënda nëse historia mjekësore është e përbashkët pa pëlqimin e një personi. Ata mund të përballen diskriminimi nga një punë ose e gjejnë veten në mes të një konflikti familjar. Shumë njerëz mund t’i shohin historitë e tyre mjekësore të turpshme. Në disa raste, historia mjekësore përdoret si shantazh. Mbajtja e mbrojtur e të dhënave shëndetësore mund mbajini pacientët më të sigurt në planin afatgjatë.

Siç e shohim në të dhënat e mësipërme, të kesh adresën e emailit ose numrin e telefonit të një pacienti është një mënyrë e thjeshtë për të filluar një sulm masiv ose sulm malware.  Qasja në informacionin shëndetësor privat të një pacienti lehtëson kryerjen e veprimeve të mashtrimit. Në këtë rast, ne nuk kemi një lidhje të drejtpërdrejtë midis pacientit dhe përshkruesit të tyre, por ai informacion mund të përdoret për të mashtruar një pacient nëse dikush do ta gjente atë.

Ekziston gjithashtu një mundësi që informacioni i mjekut mund të keqpërdoret nga dikush që e gjeti atë dhe kuptoi procedurën e thirrjes dhe plotësimit të recetave. Ndërsa përshkrimi elektronik bëhet më i popullarizuar, farmacitë kanë miratuar vërtetimin shumë faktor për të parandaluar mashtrimet me recetë, veçanërisht kur bëhet fjalë për substanca të kontrolluara.

Shkeljet e të dhënave në industrinë e kujdesit shëndetësor po bëhen gjithnjë e më të zakonshme. Siguria në internet, pra, është një çështje e ngutshme në të gjitha industritë. Frekuenca me të cilën ka sjellë rrjedhje të të dhënave shëndetësore miratimi i standardeve të reja të sigurisë për kompanitë e kujdesit shëndetësor që punojnë me bazat e të dhënave online.

Një nga kërkesat kryesore është se të gjitha të dhënat e ruajtura në bazën e të dhënave duhet të kodohen. Në këtë mënyrë, edhe nëse rrjedh, të dhënat duhet të jenë të palexueshme. Siç mund ta shohim në rastin e Vascepa, nuk kishte asnjë nivel të kriptimit për të mbrojtur këtë informacion të ndjeshëm. HIPAA u ofron kompanive që punojnë me të dhëna mjekësore virtuale një listë kontrolli për pajtueshmërinë e sigurisë.

Kompanitë shëndetësore që bëjnë vuajnë nga një shkelje e të dhënave mund të përballen me gjoba të rënda, varësisht nga sa neglizhencë kanë fajtorët. Sipas rregullit të zbatimit të HIPAA, edhe “një shkelje që i atribuohet injorancës mund të tërheqë një gjobë prej 100 $ – 50,000 $ ″ për shkelje.

Këto janë vetëm pasojat e zbatimit të vetë HIPAA-s. Kur ndodhin rrjedhje, kompanitë ende mund të përballen me padi civile nga viktimat e rrjedhjeve në krye të gjobave financiare. Dy nga arsyet më të zakonshme të gjobave përfshijnë mos mbrojtjen e të dhënave për pacientët dhe mos zbatimin e masave të duhura të sigurisë për të mbrojtur regjistrimet elektronike..

Këshilla nga ekspertët

Vascepa mund të kishte parandaluar lehtësisht një shkelje të të dhënave me këtë disa masa themelore të sigurisë. Këshillat e mëposhtme janë disa hapa themelorë për të parandaluar ose patch një rrjedhje në një bazë të dhënash.

  1. Siguroni serverat tuaj.
  2. Zbatimi i rregullave të duhura të hyrjes.
  3. Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.

Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni se si të siguroni uebfaqen tuaj dhe bazën e të dhënave online nga hakerat.

Si dhe pse e zbuluam shkeljen

Ne e gjetëm këtë rrjedhje të të dhënave si një pjesë e shkallës tonë të gjerë projekti i hartës së faqes në internet. Portet e skanimit të Ran dhe Noam në kërkim të blloqeve të njohura të IP. Pasi të kenë zbuluar këto blloqe, mund t’i përdorin ato kërkoni vrima në sistemin e një faqe në internet.

Kur ata gjejnë të dhëna të lëshuara, ata përdorin disa teknika ekspertësh për të verifikoni identitetin e bazës së të dhënave. Ne atëherë paralajmëroni kompaninë për shkeljen. Nëse është e mundur, ne gjithashtu do të paralajmërojmë ata që preken nga shkelja. Qëllimi i projektit është të ndihmojë bëjeni internetin më të sigurt për të gjithë përdoruesit.

Rreth nesh dhe raportet e mëparshme

vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të bëjë ndihmoni komunitetin online të mbrohet vetë kundër kërcënimeve në internet ndërsa edukoni organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.

Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam që Gearbest pësoi një shkelje masive të të dhënave. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.

ju lutem ndajeni këtë raport në Facebook ose cicërojeni atë.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map