Een databank die beheerd wordt door een Indiase gezondheidszorg van de overheid, agentschap werd aangesloten op het Internet zonder een wachtwoord, wanneer het blootgesteld meer dan 12,5 miljoen medische gegevens voor zwangere vrouwen, ZDNet heeft geleerd.
Records gaat zo ver terug als vijf jaar, tot 2014, en voorzien van gedetailleerde medische informatie voor vrouwen die onderging een echografie, een vruchtwaterpunctie, of andere genetische tests van hun ongeboren kind.
De database-eigenaar
De database behoorde tot de Afdeling Medische, Gezondheid en het Welzijn van de Familie van een staat in het noorden van India. ZDNet heeft afgezien van de naamgeving van de staat.
De reden hiervoor is dat de database is nog steeds online beschikbaar zonder wachtwoord. Het goede nieuws is dat de medische gegevens zijn verwijderd uit de database. Echter, het verwijderen van deze records was geen gemakkelijke taak en het duurde meer dan drie weken om ze offline gehaald.
De database werd ontdekt door Bob Diachenko, een security-onderzoeker met cyber-veiligheid, adviesbureau Beveiliging Ontdekking, in het begin van Maart 2019.
De onderzoeker is de eerste pogingen tot het beveiligen van de server niet succesvol waren. Vanwege de aard van de gegevens, de onderzoeker benaderd ZDNet om hulp, maar onze pogingen om contact met de overheid waren ook onvruchtbaar.
De database werd uiteindelijk bevestigd met behulp van het Computer Emergency Response Team (CERT) van India, maar het hele proces duurde drie weken, gedurende welke tijd de server en de medische records bleven bloot voor iedereen te downloaden.
Een agentschap van de regering verzekerd van de lekkende server laatste vrijdag, 29 Maart. Omdat de MongoDB server is nog steeds blootgesteld online, het openbaren van andere bureau operaties, ZDNet heeft besloten om zich te onthouden van het noemen van de Indiase staat en is ter voorkoming van verder misbruik te maken van haar systemen.
De gevoelige aard van het blootgestelde gegevens
Maar de lekke database bevatte niet alleen een aantal algemene medische records. De blootgestelde medische informatie is aangesloten op de Pre-Conceptie en prenatale Diagnostische Technieken Act (PCPNDT), een Indiase wet die in 1994 is dat verboden prenatale geslacht bepaling in een poging om te voorkomen dat Indiase families van het afbreken van ongeboren meisjes en schuinte van het geslacht sex-ratio in de richting van de mannen.
Volgens deze wet, medische test die kan onthullen een ongeboren kind seks in India moet alleen worden uitgevoerd voor de legitieme medische redenen, en alle testen moeten worden geregistreerd, samen met de redenen voor het uitvoeren van de hen.
De lekke database die Diachenko ontdekt werd met de gedigitaliseerde versies van de medische formulieren (Formulier F) gaat terug tot 2014.
Spreekt ZDNet, Dr. Krishna Shah, een Inwoner van het Sir Gangaram ziekenhuis in Delhi, legde de rol van de Vorm F en als het verlaten van dergelijke informatie blootgesteld online wordt beschouwd als een ernstige privacy-probleem.
“Elke zwangere vrouw op haar bezoek aan de gynaecoloog of radioloog, het ondergaan van USG, vruchtwaterpunctie of een genetische test is in te vullen formulier F,” Dr Shah zei tegen ZDNet.
“Andere dan de gegevens van de patiënt, de vorm heeft van een verklaring door beide partijen dat de test werd gedaan bij het vinden van het geslacht van de baby en een abortus […] was niet te wijten aan discriminatie op grond van geslacht – en dat is wat de Pre-Conceptie en prenatale Diagnostische Technieken Wet heeft tot doel te verwezenlijken.”
×
5.png
×
7.png
En net als Dr. Shah zei ZDNet, de informatie die is opgeslagen in de digitale versies van deze formulieren opgenomen een schat van persoonlijke en medische recrods, zoals de naam patiënt, de naam van de vader, van de patiënt adres, leeftijd, telefoon contact nummer, de diagnose en de ziekte-informatie, zwangerschap status, complicaties tijdens de zwangerschap, de procedure die de patiënt heeft ondergaan, het centrum waar de USG/vruchtwaterpunctie/genetische test is uitgevoerd, de datum van de test, test resultaten, de persoon die heeft ontvangen van de test-resultaten informatie over de verwijzende artsen en andere.
Naast de 7,5 miljoen gedigitaliseerde versies van de Vorm F, de database bevatte ook vijf miljoen gedigitaliseerde versies van andere PCPNDT-verwante vormen, zoals de Vorm van Een Formulier D Formulier E, en de Vorm van de G, met vergelijkbare medische gegevens.
De database opgeslagen gegevens over artsen en medische centra die in het bezit waren van ultrasone machines en andere medische apparatuur die gebruikt kunnen worden om te bepalen of een ongeboren kind seks.
Daarnaast is de server bevatte ook klachten tegen artsen en medische centra, en van ‘ whistle-blowing rapporten over artsen en medische centra uitvoeren van geslacht bepaling tests. Enkele voorbeelden van deze klokkenluider meldt [sic]:
Geachte heer [BEWERKT] diagnostisch centrum [BEWERKT] aan het doen is seks bepaling voor de levering van echografie dagelijks en het nemen van goede geld in de buurt van ongeveer 3 tot 4 duizend… Pls sir actie…
Er is seks selectie kampen [BEWERKT] en georganiseerd door een aantal van Bijnaur.
Een Verpleegster Namelijk [BEWERKT] is Betrokken Bij de Vrouwelijke Foeticide Geval met De hulp van Dr. [BEWERKT]. Ik heb Veel geklaagd tegen haar GMO-office & DM office, maar Geen actie genomen wordt door hem. Ze had haar abortus op 26/27-10-2014 dat is ook vrouwelijke Foeticide geval, en ik heb deze klacht misdaad maar het resultaat is nul.
Een aparte database toonde de voortgang van een aantal van deze meldingen en informatie over de wettelijke status van een aantal klachten die zijn gegaan naar de rechter na een regering van het onderzoek.
×
1.png
“Al is de vorm vormen de ruggengraat van de Pre-Conceptie en prenatale Diagnostische Technieken Act, is een punt van zorg als de persoonlijke gegevens van de patiënten zijn links onbeschermd op het internet,” Dr Shah toegevoegd.
Het verlaten van dergelijke gevoelige informatie binnen een passwordless MongoDB server is verwant aan het breken van arts-patiënt vertrouwelijkheid.
Terwijl de database niet bevatten informatie over alle zwangerschappen geregistreerd in de naamloze heeft van de Indiase staat, het bevatte medische dossiers voor vrouwen die last hadden van complicaties in de zwangerschap en abortus, gegevens dat sommige gezinnen zou graag privé blijven, vanwege de voor de hand liggende redenen.
Meer data breach dekking:
Bedrijven zijn het lekken van gevoelige bestanden via Box accountsBithumb cryptocurrency exchange gehackt voor de derde keer in twee yearsCard inbreuken gerapporteerd in Buca di Beppo, Planet Hollywood, en andere restaurantsToyota kondigt tweede inbreuk op de beveiliging in de laatste vijf weken
FEMA ‘onnodig’ gedeelde gegevens van 2,3 miljoen slachtoffers van rampen met contractorCryptocurrency platforms DragonEx en CoinBene bekendmaken hacksFacebook wachtwoorden door de honderden miljoenen zat blootgesteld in de platte tekst CNET
Facebook privacy van gegevens schandaal: Een cheat sheet TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters