افکار امن برای افشای سوابق پزشکی بسیار حساس مربوط به کهنه سربازان ارتش آمریکا با جرمیا فاولر ، کارشناس امنیت همکاری کردند.
در 18 آوریل 2021 من یک پایگاه داده محافظت نشده با رمز عبور پیدا کردم که حاوی اطلاعات پزشکی مربوط به کهنه سربازان بود. کمتر از 200000 پرونده در معرض دید عموم بود. با بررسی بیشتر داده ها ، مراجع زیادی به یک شرکت مستقر در جکسونویل ، کارولینای شمالی به نام United Valor Solutions وجود داشت. این سوابق حاوی اطلاعات مربوط به بیمار ، پزشک ، کارمند و سایر اطلاعات حساس بالقوه ای بود که باید در معرض دید عموم قرار نمی گرفت.
طبق وب سایت آنها: United Valor Solutions خدمات ارزیابی معلولیت را برای اداره پیشکسوتان و سایر ادارات فدرال و ایالتی ارائه می دهد
من بلافاصله اخطار مسئولانه یافته های خود را به مخاطبین اصلی كه ایمیل های آنها در پایگاه داده موجود بود ، ارسال كردم. دسترسی عمومی طی چند ساعت محدود شد و یونایتد والور برای تأمین سوابق در معرض دید سریع اقدام کرد.
در 19 آوریل پاسخ زیر را دریافت کردم: " از این که این مورد را به ما جلب کردید متشکرم ما یافته های شما را به پیمانکاران خود اعلام کردیم و آنها بلافاصله دسترسی به داده های عمومی را متوقف کردند. با توجه به نظارت آنها ، داده ها فقط از طریق IP داخلی ما و شما قابل دسترسی بوده اند. "
این مجموعه داده همچنین حاوی یک پیام Ransomware با عنوان" read_me "بود که ادعا می کرد تمام سوابق بارگیری شده اند و تا زمانی که فاش نشود ، 0.15 بیت کوین (8148 دلار آمریکا) پرداخت شد. حسابرسی پزشکی قانونی یا بررسی IP دسترسی خارجی که توسط پیمانکار انجام شده است ، همچنین باید نفوذ Ransomware و چندین عنکبوت موتور جستجوگر اینترنت اشیا را شناسایی کند که پایگاه داده در معرض ایندکس را فهرست بندی می کنند. به نظر می رسد این با آنچه پیمانکاران به United Valor گفتند مغایرت دارد.
آنچه در پایگاه داده وجود داشت:
- تعداد سوابق: 189،460
- اطلاعات مربوط به جانباز / بیمار: نام ، تاریخ تولد ، جنسیت ، دلیل مراجعه به پزشک ، شماره پرونده پزشکی ، برخی از حساب ها حاوی ایمیل و شماره تلفن است . اطلاعات پزشک و محل قرار ملاقات
- نام و آدرس ایمیل کاربران داخلی که می توانند در یک حمله فیشینگ یا سایر کلاهبرداری های مهندسی اجتماعی هدف قرار بگیرند که احتمالاً بر جانبازان ، کارمندان یا پزشکان تأثیر گذاشته است.
- اطلاعات مدیر و کاربر با رمزهای عبور هش شده و غیر هش شده. کاربران داخلی با حساب های الکترونیکیunitedvalorusa رمزهای عبور خود را در معرض دید قرار دادند که به نظر پیچیده اما رمزگذاری نشده هستند. حسابهای کاربری خارجی با جیمیل ، یاهو و سایر ارائه دهندگان ایمیل هش شد.
- مدارکی از Ransomware که ادعا می کند داده ها بارگیری شده اند.
- صورتحساب ، صورتحساب و مجموع مانده موجودی.
- پایگاه داده برای باز کردن و باز کردن در هر مرورگری قابل مشاهده است (در دسترس عموم است) و هر کسی می تواند داده ها را بدون اعتبار اداری ویرایش ، بارگیری و یا حتی حذف کند.
سوابق حاوی قرار ملاقات و سایر داده های مربوط به جانبازان از سراسر جهان بود ایالات متحده. در داخل پایگاه داده پرونده هایی وجود داشت که شامل اطلاعات قابل شناسایی شخصی (PII) بود و برخی از حساب ها دارای اطلاعات پزشکی یا یادداشت در مورد کاربر بودند. این دلایل ویزیت دارای طیف گسترده ای از توصیفات مانند "ROUTINE PHYSICAL / COMPARISON VIEWS-BACK PAIN" است.
MRN یا شماره پرونده پزشکی به عنوان یک مستند سیستماتیک از سابقه پزشکی بیمار استفاده می شود. در یک کارزار فیشینگ هدفمند مجرمان اینترنتی می توانند برای جلب اعتماد ، به این شماره ثبت محرمانه مراجعه کنند و سپس از قربانی بخواهند که اطلاعات پرداخت ، شماره کارت اعتباری خود را به روز کند یا انواع دیگر کلاهبرداری ها را انجام دهد. به معنای تخلف توسط United Valor Solutions یا شرکای آنها ، پیمانکاران یا شرکت های وابسته نیست. آنها برای ایمن سازی اطلاعات در معرض دید سریع و حرفه ای عمل کردند. من به عنوان یک محقق امنیتی ، هرگز رکوردهایی را که پیدا می کنم بارگیری یا استخراج نمی کنم و فقط تعداد کمی عکس از صفحه را برای اهداف اعتبار سنجی می گیرم و اطلاعات حساس را دوباره اصلاح می کنم. هدف من آموزش و آگاهی از مسائل مربوط به امنیت سایبری و کمک به محافظت از افراد آسیب دیده و داده هایی است که کشف می کنم.
مشخص نیست که آیا این حادثه به افراد آسیب دیده ، آژانس های کهنه سربازان یا سازمان گزارش شده است مقامات مطابق با قوانین تخلف و اطلاع رسانی HIPPA و کارولینای شمالی. همچنین مشخص نیست که این داده ها از چه مدت در دسترس عموم بوده است یا دامنه کامل افرادی که ممکن است به سوابق دسترسی داشته باشند. فقط یک حسابرسی دقیق پزشکی قانونی می تواند دامنه کامل مواجهه را نشان دهد.
در دنیای همیشه در حال تغییر امنیت سایبری ، تعداد کمی از سوابق وجود دارد که به اندازه داده های پزشکی حساس هستند. سوابق پزشکی از با ارزش ترین انواع داده ها هستند. گزارش شده است که سوابق پزشکی در بازار سیاه می توانند به اندازه 250 دلار در هر رکورد به فروش برسند ، در حالی که کارت های اعتباری هر رکورد تنها با قیمت 40/5 دلار فروخته می شوند. قرار گرفتن در معرض هرگونه اطلاعات به طور بالقوه می تواند کاربران یا مشتریان را در معرض خطر قرار دهد ، اما سوابق بهداشتی و پزشکی از بالاترین تهدیدها هستند .
خطرات برون سپاری داده های حساس
برای هر سازمانی که ذخیره یا ذخیره کند مهم است. برای حفظ کنترل اطلاعات خود ، داده های پزشکی یا سایر حساسیت ها را جمع آوری می کند. این شامل امنیت داده ها ، به روزرسانی ها یا مدیریت وصله ها و سایر تغییرات مورد نیاز برای تأمین نیازهای استاندارد امنیت داده است. این کنترل در مورد اطلاعات شخصی غیر عمومی (پزشکی ، شماره های تأمین اجتماعی ، داده های کارت اعتباری و غیره) این کنترل حتی از اهمیت بیشتری برخوردار است.
برون سپاری می تواند صرفه جویی کند اما خطرات بسیار واقعی دارد. با تولید زیرساخت های فناوری اطلاعات ، ترکیبی از استانداردهای امنیت سایبری به دست می آید. شرکت های توسعه کم هزینه و فناوری اطلاعات می توانند در خارج از ایالات متحده یا اتحادیه اروپا مستقر شوند که در آن قوانین سختگیرانه حریم خصوصی و مقررات امنیتی داده وجود دارد. برون سپاری به پیمانکاران در مکانهای فاقد قوانین محافظت از داده های قوی خطرات اضافی ایجاد می کند و آنها معمولاً برای نقض حیاتی داده ها هیچ گونه مسئولیتی ندارند.
