Raporti: Të dhëna Mjekësore Lëshuan për Qindra Mijëra Përdorues (përfshirë Veteranët e SHBA)
Ekipi hulumtues i vpnMentor ka gjetur një shkelje në bazën e të dhënave xSocialMedia.
Noam Rotem dhe Ran Locar, studiuesit tanë kryesorë të sigurisë në internet, zbuluan dobësi në baza të të dhënave të shumta të operuara nga xSocialMedia. gati U ekspozuan 150,00 regjistrime personale, por nuk janë të gjitha ato që gjetën.
Kjo përfshinte dëshmitë mjekësore thellësisht personale, identifikimin e informacionit dhe informacionin e kontaktit për përdoruesit. Për më tepër, ne kemi qenë në gjendje të përdorim një lista e faturave të xSocialMedia, të dhënat e klientit dhe numrat e saktë nga fushatat e tyre reklamuese për dëmtimin- check.com.
Rrjedhja xSocialMedia lejon hyrjen në emrat, adresat, numrat e telefonit dhe historinë mjekësore që siguroheshin nga drejtimet e tyre.
Afati kohor i zbulimit dhe reagimit
- 2 qershor: Ne zbuluam rrjedhjen në bazën e të dhënave të xSocialMedia
- 3 qershor: Lidhur shkeljen përsëri në xSocialMedia
- 5 qershor: Ne kontaktuam xSocialMedia për shkeljen
- 11 qershor: Ne kontaktuam xSocialMedia një herë të dytë
- 11 qershor: xSocialMedia u përgjigj
- 11 qershor: Baza e të dhënave ishte e mbyllur
Shembuj të hyrjeve në bazën e të dhënave
xSocialMedia është një agjenci marketingu në Facebook e cila përqendrohet në drejtimin e fushatave për paditë mjekësore për mosmarrëveshje. Sipas faqes së tyre të internetit, ata krijojnë fushata reklamimi në Facebook për 230+ klientë. Reklamat e tyre kanë gjeneruar mbi 16,000 drejtime.
Reklamat që xSocialMedia i poston në Facebook i çojnë përdoruesit në një sërë fushash “dëmtimi- check.com”, në varësi të sëmundjeve të tyre specifike. Shembuj përfshijnë https://ied-fund.injury-check.com dhe https://ivcfilter-risk.injury-check.com. xSocialMedia rendit 10 lloje të ndryshme të avokatëve të lëndimeve me të cilat punojnë.
Pasi përdoruesit e Facebook të kenë hyrë në një nga fushat e dëmtimit-check.com, ata inkurajohen të plotësojnë një formular me të dhënat e tyre mjekësore për të parë nëse ata kualifikohen për ndihmë juridike.
Mund të kemi qasje pothuajse 150,000 përgjigje në këto forma.
Të dhënat e ekspozuara përfshijnë:
- Emri dhe mbiemri
- Adresa e postës elektronike
- Adresa e rrugës
- Numri i telefonit
- adresa IP
- Rrethanat e dëmtimit
- Shpjegimi për dëmtimin
Të gjitha shënimet janë etiketuar me “xsocial_submission_id “, gjë që tregon se këto parashtresa kanë qenë dërguar nga ata që klikuan në njërën prej reklamave në Facebook. Meqenëse etiketa nuk përfshin emrin e plotë të kompanisë, na u desh më shumë kohë që të lidhim shkeljen e të dhënave përsëri në xSocialMedia si burim i rrjedhjes.
Lëndimet e përshkruara në bazën e të dhënave ndryshojnë nga dëmtimet luftarake të pësuara nga veteranët amerikanë te demtimet e shkaktuara nga paisjet mjekësore, përdorimi i pesticideve, efektet anësore të ilaçeve dhe produktet për fëmijë të dëmtuar.
Drejtimi i mësipërm tregon të dhëna që paraqiti një veteran amerikan duke përshkruar dëmtimet e tyre luftarake. Në përshkrimin e plagëve të marra nga veterani gjatë luftimit, ata linin informacione që mund të mos ishin zbuluar për askënd tjetër. Punëdhënësit, për shembull, nuk mund ta dinë se një punonjës po vuan nga PTSD.
Ky parashtrim përfshinte thellësisht simptoma private që ky person është ende duke vuajtur si rezultat i operacionit të tyre. Përdorimi i informacionit të dhënë në bazën e të dhënave, ne mund të gjenim lehtësisht llogaritë dhe vendndodhjen e tyre në mediat sociale. Megjithëse ata nuk e dorëzuan adresën e tyre, përfshirja e një adrese IP është e mjaftueshme për të zbuluar vendndodhjen e tyre.
Kjo gjithashtu na dha pasqyrë të situatës së tyre të punësimit. Simptomat që ky person vuan akoma mund të prishin reputacionin e tyre profesional.
Këtu është një hyrje tjetër që erdhi nga një veteran. Kjo është për një rast në lidhje me prerjet e keqfunksionimit të veshëve. Shkalla e dëmtimit të veteranit mund të mos jetë diçka që ata zbulojnë për të gjithë.
xSocialMedia nuk ka zbuluar vetëm të dhëna private në lidhje me rezultatet e tyre. Baza e të dhënave e tyre gjithashtu lëshuan informacione për llogarinë e tyre bankare në regjistrimet e faturave që ata u dërguan klientëve.
Ne gjithashtu mund të shohim të tyre adresat e emrave të klientëve, numrat e telefonit dhe adresat e postës elektronike. Pjesa më e madhe e kësaj është informacioni publik, por shumën specifike që secila kompani po paguan xSocialMedia, përndryshe nuk do të zbulohet.
Sasia e të dhënave që arrihen lehtësisht përmes bazës së të dhënave të xSocialMedia nuk ndalet këtu. Ne mund të shohim më shumë se 300 klientë të ndryshëm të cilët janë duke mbledhur të dhëna me qëllim ndërtimin e padive. Ne mund të shohim kodin për format e tyre në internet, si dhe metrikë për reklamat e tyre në Facebook. Shumica e kompanive nuk zbulojnë metrikë specifike për fushatë.
Këtu, ne mund të shohim se çfarë rezultatet e tyre janë për fushatë në internet, përveç kësaj shumën e parave që klientët e tyre po paguajnë për secilën fushatë.
Ndikimi i thyerjes së të dhënave
Kjo shkelje e të dhënave ka pasoja shumë të gjera, veçanërisht për shkak të të dhënave të ndjeshme shëndetësore të përfshira në bazën e të dhënave të xSocialMedia. Regjistrimet mjekësore mbrohen shumë në SH.B.A. me ligjet e HIPAA-s. Praktikuesit dhe ofruesit e tjerë të kujdesit shëndetësor nuk mund të lëshojnë asnjë informacion identifikues për pacientët e tyre pa lejen me shkrim.
Këto ligje munden mbroni mirëqenien e pacientëve, familjet e tyre dhe punët e tyre. Ofruesit e kujdesit shëndetësor as nuk mund të konfirmojnë një pacient në një palë të jashtme pa lëshim. Pacientët mund të shqetësohen se nëse në vendin e tyre të punës, për shembull, do të kishin qasje të hapur në të dhënat e tyre mjekësore, ai mund të përdoret kundër tyre. Të dhënat e vetme që lejohen të lëshohen jashtë kanaleve të përcaktuara janë të dhënat që nuk kanë asnjë informacion identifikues të bashkangjitur.
Bazuar në dëshmitë e regjistruara në bazën e të dhënave të xSocialMedia, shumë nga këta njerëz po regjistruan çështje private mjekësore. Disa mund të mos i kenë zbuluar këto simptoma askujt, por mjekët e tyre. Ata mund të kenë frikë të humbasin punën e tyre ose si miqtë dhe familja e tyre do t’i trajtojnë ata nëse simptomat e tyre ishin njohuri publike. Disa mund të shqetësohen për të qenurit turpëruar për kushtet e tyre mjekësore, apo edhe shantazhuar.
Jo vetëm kaq, këta njerëz mund të jenë lehtësisht gjurmohen nga informacioni identifikues i bashkangjitur te deshmite e tyre. Një aktor i keq mund ta marrë këtë informacion dhe ta përdorë atë për të provuar sigurinë e llogarive të tjera të këtyre njerëzve. Duke pasur parasysh numrin e veteranëve me tregime të hollësishme të dëmtimeve të tyre në bazën e të dhënave, terroristët mund të përfitojnë të të dhënave të tyre për t’i dëmtuar ata më tej si një akt hakmarrjeje.
Njerëzit që plotësuan format e lidhura në reklamat e xSocialMedia ishin tashmë që vuajnë nga problemet mjekësore kjo shkaktoi mjaft dhimbje dhe traumë se po kërkonin ndihmë juridike. Zbulimi që të dhënat e tyre u zbuluan pa leje mund të shtonin lehtësisht traumën e tyre.
xSocialMedia duhet të ketë u kujdes më shumë për të siguruar bazën e të dhënave të tyre para se të fillonin mbledhjen e informacionit mjekësor privat. Firma në vetvete nuk mund t’i nënshtrohet pajtueshmërisë së HIPAA-s sepse pacientët janë të lirë të zbulojnë informacionin e tyre shëndetësor për palët sipas zgjedhjes së tyre. Sidoqoftë, në këtë rast, shumë pacientët nuk e prisnin mundësinë që dëshmitë e tyre të mund të jepeshin për publikun.
xSocialMedia në mënyrë specifike përqendron fushatat e saj të reklamave në Facebook në industria e keqpërdorimeve mjekësore. Është një shkelja e etikës të mos ketë masa më të larta sigurie që nga fillimi.
Për më tepër, kjo rrjedhje e të dhënave nuk dëmton vetëm ata që vuajnë nga keqpërdorimi mjekësor. Ajo dëmton edhe biznesin e xSocialMedia. Firmat e ardhshme juridike mund të jenë më pak të prirura për të punuar me një kompani që përjetoi një shkelje kaq të gjerë. Për më tepër, nëse a ndërmarrja e marketingut rivale ka qasje në metrikat e xSocialMedia, ata mund ta përdorin atë për përfitimin e tyre.
Si e zbuluam shkeljen
Ekipi hulumtues i vpnMentor gjeti të keqen një projekt hartografie në internet. I kryesuar nga Ran dhe Noam, skuadra skanon portet duke kërkuar blloqe IP të njohura. Ata i përdorin këto blloqe për të gjetur vrimat në sistemin e uebit të një kompanie. Sapo të gjenden këto vrima, ekipi kërkon për dobësi që do t’i çojnë ata në një shkelje të të dhënave.
Duke përdorur ekspertizën e tyre, ata ekzaminoni bazën e të dhënave për të konfirmuar identitetin e saj.
Sapo kemi zbuluar rrjedhjen, ne kontaktojmë kompaninë për t’i paralajmëruar ata në shkeljen e të dhënave. Kur është e mundur, ne gjithashtu njoftojmë ata që preken nga rrjedhjet. Ne e bëjmë këtë për e bëjnë internetin më të sigurt për të gjithë përdoruesit.
Këshilla nga ekspertët
Kjo rrjedhje e të dhënave mund të ishte shmangur lehtësisht. Kompanitë mund të marrin disa masa themelore të sigurisë për të parandaluar ose patch një rrjedhje të të dhënave duke përdorur këshillat e mëposhtme:
- Siguroni serverat tuaj.
- Zbatimi i rregullave të duhura të hyrjes.
- Asnjëherë mos lini një sistem që nuk kërkon autentifikim të hapur për internetin.
Për një udhëzues më të thelluar se si të mbroni biznesin tuaj, shikoni se si të siguroni uebfaqen tuaj dhe bazën e të dhënave online nga hakerat.
Rreth nesh dhe raportet e mëparshme
vpnMentor është uebfaqja më e madhe në botë për rishikimin VPN. Laboratori ynë hulumtues është një shërbim pro bono që përpiqet të bëjë ndihmoni komunitetin online të mbrohet vetë kundër kërcënimeve në internet ndërsa edukoni organizatat për mbrojtjen e të dhënave të përdoruesve të tyre.
Kohët e fundit zbuluam një shkelje të madhe të të dhënave që prek 80 milion familjet e SHBA. Ne gjithashtu zbuluam që Gearbest pësoi një shkelje masive të të dhënave. Ju gjithashtu mund të dëshironi të lexoni Raportin tonë të Rrjedhjeve VPN dhe Statistikat e Statistikave të Intimitetit të të Dhënave.
ju lutem ndajeni këtë raport në Facebook ose cicërojeni atë.