ანგარიში: ათასობით ფარმაცევტული ჩანაწერი გაჟონა HIPAA- ს შესაძლო დარღვევაში

vpnMentor‘s- ის სამეცნიერო ჯგუფმა აღმოაჩინა მონაცემთა ბაზაში გაჟონვა, რეცეპტის სამკურნალო საშუალებებთან მიმართებაში.

სამეცნიერო ჯგუფმა ნოამ როტემ და რან ლოკარმა უხელმძღვანელეს დაუცველი და დაშიფრული მონაცემები ვასესპასთან დაკავშირებით. ვასესკა, გაიცემა რეცეპტი, რომელიც ხელს უწყობს ტრიგლიცერიდების შემცირებას. პრეპარატი, როგორც ჩანს, გამოყენებულია უფრო მეტს 78 000 პაციენტი.

მონაცემები მოიცავს სრული საიდენტიფიკაციო ინფორმაცია 78,000+ პაციენტზე რომლებიც იღებენ მედიკამენტებს. ასევე ხელმისაწვდომი იყო მეორე მონაცემთა ბაზა, რომელიც შეიცავს გარიგების შესახებ ინფორმაციას.

პაციენტის მონაცემები მოიცავს პაციენტების სახელები, მისამართები, ტელეფონის ნომრები, და ელექტრონული ფოსტის მისამართები. გარდა ამისა, ჩვენ შეგვიძლია შევიდეთ წვდომა გარიგების შესახებ, რომელიც ჩაწერს დანიშნოს ექიმი, მათი NPI ნომერი, და სააფთიაქო ინფორმაცია.

ჩვენ მონაცემები აღმოვაჩინეთ MongoDB არასწორად კონფიგურირებული მონაცემთა ბაზის საშუალებით, რომელიც დარჩა ღიად და ექვემდებარება ვინმეს ინტერნეტით სარგებლობის საშუალებას. ჩვენ გვჯერა, რომ მონაცემთა ბაზა შეიძლება მიეკუთვნებოდეს ConnectiveRX- ს მონაცემთა აღმოჩენის შემდეგ რამდენიმე დღის შემდეგ. შემდეგ ჩვენ დავუკავშირდით მათ, რომ მათ გაფრთხილების შესახებ გაჟონვის შესახებ.

18 ივნისს, Twitter– ის შეტყობინება მივიღეთ David Yakimischak– ს, ConnektRx– ის CTO– სგან. მან დაწერა, ”მონაცემთა ბაზაში, რომელიც მოიხსენიება მედიის ბოლო სტატიაში, არ არის მონაცემთა ბაზა, რომელსაც ჩვენ ვანარჩუნებთ ან კიდევ გვაქვს წვდომა. ჩვენ საერთოდ არ გამოვიყენებთ მონაცემთა ბაზის მართვის სისტემას ჩვენი რომელიმე პროგრამისთვის. ”

მონაცემთა ბაზაში შესვლის მაგალითები

ვასესკა არის წამლების მიერ წარმოებული წამლები. პრეპარატი, რომელიც გამიზნულია მაღალი ტრიგლიცერიდების შემცირებაში, მიღებულია მეტი რაოდენობით 78 000 პაციენტი. ჩვენ მიერ ნაპოვნი მონაცემთა ბაზის დარღვევის საფუძველზე, ვიცით, რომ ყოფილა ადგილი 390,000+ გარიგება ვასესკა.

წამალი უნიკალურია იმით, რომ ამცირებს ტრიგლიცერიდებს პაციენტის LDL ან ცუდი ქოლესტერინის გაზრდის გარეშე. ვასესკა გამოირჩევა სხვა ომეგა -3 დამატებებისგან, DHA– ის ნაკლებობის გამო, ომეგა -3 ცხიმოვანი მჟავა, რომელიც გამოავლინა LDL– ის ასამაღლებლად.. იგი მხოლოდ რეცეპტით არის შესაძლებელი.

დარღვევის მონაცემები

ინფორმაცია პაციენტის შესახებ

  • Სრული სახელი
  • მისამართი
  • მობილური ტელეფონის ნომერი
  • Ელექტრონული მისამართი

გარიგების შესახებ ინფორმაცია

  • სააფთიაქო პირადობის მოწმობა
  • აფთიაქის სახელი
  • სააფთიაქო მისამართი
  • ექიმის დანიშნულება
  • NPI ნომერი (მიმწოდებლის ეროვნული იდენტიფიკატორი)
  • წევრის პირადობის მოწმობა
  • NABP E- პროფილის ნომერი (აფთიაქის საბჭოების ეროვნული ასოციაცია)

ზემოთ მოყვანილი მონაცემებიდან ვხედავთ, რომ პაციენტები ინფორმაციის სრულად დადგენა ადვილად ხელმისაწვდომია მონაცემთა ბაზაში. Მათთან სახელი და მისამართი, ადვილია იპოვოთ დიდი რაოდენობით ინფორმაცია მათ შესახებ. აღსანიშნავია, რომ არსებობს პირადობის კოდი ორი სხვა კომპანიისთვის, მუდმივი კონტაქტი, ელექტრონული ფოსტის მარკეტინგის პლატფორმა და PSKW, ელექტრონული დანიშნულების პროგრამის იურიდიული სახელი, ConntectiveRX.

ჩვენ ეჭვი გვაქვს, რომ მონაცემთა ბაზაში შეიძლება მიეკუთვნება ConnectiveRX, მოცემულ მონაცემებში ტეგების თანმიმდევრულობა. ამასთან, ჩვენ ვიპოვნეთ მონაცემები მხოლოდ ვასესპას რეცეპტებთან დაკავშირებით, რაც ნაკლებად ნათელს ხდის სად წარმოიშვა გაჟონვა.

მობილური ტელეფონის ნომრების და ელ.ფოსტის მისამართების სრული ჩამონათვალის წვდომა თავდასხმის მოწვევაა.

ეს მეორე მაგალითი მეორე მონაცემთა ბაზაში მოდის. Ჩვენ გვაქვს 391,649 შესყიდვის გარიგება ვასესპასთვის. გარიგების შედეგად დაცული ინფორმაცია მოიცავს ყველა ინფორმაციას ამის შესახებ აფთიაქებში, სადაც შევსებული იყო რეცეპტი. Ეს მოიცავს ფარმაცევტის ელექტრონული პროფილის ნომერი, რომელიც აკონტროლებს მათ მიერ შევსებულ რეცეპტებს, სხვა საკითხებთან ერთად.

გარდა ამისა, ჩვენ გვაქვს სრული ინფორმაცია გამგეობისთვის. ეს მოიცავს მათ სრული სახელი, სამედიცინო ლიცენზიის სახეობა, მათ პრაქტიკის მისამართი და მათი NPI ნომრები.

მონაცემთა დარღვევის გავლენა

ჯანმრთელობის მონაცემები, როგორიცაა ის, რაც გაჟონა ვასესპას მონაცემთა ბაზაში, როგორც ჩანს, ქოლგის ქვეშ არის ინფორმაცია, რომელიც მოიცავს HIPAA- ს კონფიდენციალურობის წესს. ამ წესით, პაციენტის ინფორმაცია, თუნდაც ასოცირებულ ინდუსტრიაში, არ უნდა გამოქვეყნდეს იდენტიფიკატორებთან, თუ თავად პაციენტი არ არის შეთანხმებული.

სამედიცინო ჩანაწერებია დაცული საზოგადოებრივი დაშვებისაგან პაციენტის კონფიდენციალურობის და უსაფრთხოების უზრუნველსაყოფად. შეიძლება ბევრი იყოს მძიმე შედეგები, თუ სამედიცინო ისტორია გაზიარებულია პირის თანხმობის გარეშე. მათ შეუძლიათ პირისპირ დისკრიმინაცია სამსახურიდან ან აღმოჩნდეთ ოჯახური კონფლიქტის შუაგულში. ბევრმა შეიძლება მათი სამედიცინო ისტორიები უხერხული აღმოჩნდეს. ზოგიერთ შემთხვევაში, სამედიცინო ისტორია გამოიყენება შანტაჟად. ჯანმრთელობის მონაცემების დაცვა შეიძლება დაიცავით პაციენტები გრძელვადიან პერსპექტივაში.

როგორც ზემოთ მოცემულ მონაცემებში ვხედავთ, პაციენტის ელ.ფოსტის მისამართის ან ტელეფონის ნომრის დაუფლება მარტივი გზაა მასობრივი სპამის ან malware შეტევის დასაწყებად.  პაციენტის პირადი ჯანმრთელობის შესახებ ინფორმაციის ხელმისაწვდომობა გაადვილებს თაღლითობის მოქმედებას. ამ შემთხვევაში, ჩვენ არ გვაქვს უშუალო კავშირი პაციენტს და მათ დამდგენს, მაგრამ ეს ინფორმაცია შეიძლება გამოყენებულ იქნას პაციენტის შეცდომაში შეყვანის შემთხვევაში, თუ ვინმე იპოვის მას.

ასევე არსებობს იმის შესაძლებლობა, რომ ექიმის მიერ გამოყენებული ინფორმაცია შეიძლება გამოყენებულ იქნას ვინმემ, რომელმაც ის იპოვა და გაიაზრა რეცეპტების დარეკვისა და შევსების პროცედურა. იმის გამო, რომ ელექტრონული დანიშნულება უფრო პოპულარული ხდება, აფთიაქებმა მიიღეს მრავალფუნქციური ავტორიზაცია, რეცეპტის თაღლითობის თავიდან ასაცილებლად, განსაკუთრებით მაშინ, როდესაც საქმე ეხება კონტროლირებულ ნივთიერებებს..

ჯანდაცვის ინდუსტრიაში მონაცემთა დარღვევა სულ უფრო ხშირია. ამრიგად, ინტერნეტ-უსაფრთხოება აქტუალურია ყველა ინდუსტრიაში. სიხშირე, რომლითაც ჯანმრთელობის მონაცემების გაჟონვამ გამოიწვია უსაფრთხოების ახალი სტანდარტების მიღება ჯანდაცვის კომპანიებისთვის, რომლებიც ონლაინ მონაცემთა ბაზაში მუშაობენ.

ერთ-ერთი მთავარი მოთხოვნა არის ყველა მონაცემთა ბაზაში დაცული მონაცემები დაშიფრული უნდა იყოს. ამ გზით, თუნდაც ის გაჟონოს, მონაცემები უნდა იყოს წაკითხული. როგორც ვასპესას შემთხვევაში ვხედავთ, არ იყო დაშიფრული ისეთი დონე, რომელიც არ იცავდა ამ მგრძნობიარე ინფორმაციას. HIPAA გთავაზობთ კომპანიებს, რომლებიც ვირტუალურ სამედიცინო მონაცემებთან მუშაობენ უსაფრთხოების ჩამონათვალის უსაფრთხოების ჩამონათვალი.

ჯანდაცვის კომპანიები, რომლებიც აკეთებენ დაზარალებულმა მონაცემთა დარღვევამ შეიძლება დააჯარიმოს მძიმე ჯარიმები, დამოკიდებულია იმაზე, თუ რამდენად გაუფრთხილებლობა აქვთ დამნაშავე. HIPAA– ს აღსრულების წესის თანახმად, ”უგულებელყოფასთან დაკავშირებული დარღვევაც კი შეიძლება მოზიდული იყოს ჯარიმა 100 აშშ დოლარი – 50,000 აშშ დოლარი ″ დარღვევის გამო.

ეს მხოლოდ HIPAA- ს აღსრულების შედეგია. როდესაც გაჟონვა ხდება, კომპანიებს კვლავ შეუძლიათ სამოქალაქო სარჩელების წინაშე დგომა ფინანსური ჯარიმების ზემოქმედების შედეგად დაზარალებულთა მხრიდან. ჯარიმების ორი ყველაზე გავრცელებული მიზეზი მოიცავს პაციენტების ჩანაწერების დაცვას და ელექტრონული ჩანაწერების დასაცავად ადგილზე უსაფრთხოების ზომების მიღებას..

რჩევა ექსპერტებისაგან

ვასესპას მარტივად შეეძლო ამ ტიპის მონაცემთა დარღვევა უსაფრთხოების რამდენიმე ძირითადი ზომა. შემდეგი რჩევები არის რამდენიმე ძირითადი ნაბიჯი მონაცემთა ბაზაში გაჟონვის თავიდან ასაცილებლად.

  1. უსაფრთხო თქვენი სერვერები.
  2. წვდომის სათანადო წესების შესრულება.
  3. არასოდეს დატოვოთ ისეთი სისტემა, რომელსაც არ მოითხოვს ავტორიზაცია ინტერნეტისთვის ღია.

უფრო სიღრმისეული სახელმძღვანელოს შესახებ, თუ როგორ უნდა დაიცვათ თქვენი ბიზნესი, შეამოწმეთ როგორ უნდა უზრუნველყოთ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან.

როგორ და რატომ აღმოვაჩინეთ ეს დარღვევა

ამ მონაცემების გაჟონვა აღმოვაჩინეთ, როგორც ჩვენი ფართომასშტაბიანი ნაწილი ვებ რუკების პროექტი. რან და ნოამის სკანირების პორტები ეძებენ ცნობილ IP ბლოკებს. ამ ბლოკის აღმოჩენისთანავე შეგიძლიათ გამოიყენოთ ისინი მოძებნეთ ხვრელები ვებსაიტის სისტემაში.

გაჟონვის მონაცემების მოძებნაში ისინი იყენებენ რამდენიმე საექსპერტო ტექნიკას შეამოწმეთ მონაცემთა ბაზის პირადობა. ჩვენ შემდეგ შეატყობინეთ კომპანიას დარღვევის შესახებ. თუ ეს შესაძლებელია, ჩვენ ასევე შეგვაფრთხილებთ დარღვევის შედეგად დაზარალებულებს. პროექტის მიზანია დაეხმაროს ინტერნეტი უფრო უსაფრთხო გახადე ყველა მომხმარებლისთვის.

ჩვენს შესახებ და წინა მოხსენებები

vpnMentor არის მსოფლიოს უმსხვილესი VPN მიმოხილვის ვებსაიტზე. ჩვენი კვლევის ლაბორატორია არის პრო ბონო მომსახურება, რომლისკენაც ისწრაფვის დაეხმარეთ ონლაინ საზოგადოების დაცვას კიბერ საფრთხეების წინააღმდეგ, ხოლო ორგანიზაციებს ასწავლიან თავიანთი მომხმარებლების მონაცემების დაცვას.

ჩვენ ცოტა ხნის წინ აღმოვაჩინეთ მონაცემთა უზარმაზარი დარღვევა, რაც გავლენას ახდენს 80 მილიონი აშშ-ს ოჯახზე. ჩვენ ასევე აღმოვაჩინეთ, რომ Gearbest– მა მიიღო მონაცემების მასიური დარღვევა. თქვენ ასევე შეგიძლიათ წაიკითხოთ ჩვენი VPN გაჟონვის ანგარიში და მონაცემთა კონფიდენციალურობის სტატისტიკის ანგარიში.

გთხოვთ გაუზიარეთ ეს მოხსენება Facebook- ზე ან ტვიტირება.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me