En databas som förvaltas av en Indiska regeringen hälso-byrån som var kvar ansluten till Internet utan ett lösenord, om det exponeras mer än 12,5 miljoner journaler för gravida kvinnor, ZDNet har lärt sig.
Poster som går tillbaka så långt som fem år, till 2014, och innehåller detaljerad medicinsk information för kvinnor som genomgick ett ultraljud, fostervattenprov, eller andra genetisk testning av deras ofödda barn.
Databasens ägare
Databasen tillhörde Institutionen för medicin, Hälso-och familjeomsorg av en stat i norra Indien. ZDNet har avstått från att namnge staten.
Anledningen är att databasen är fortfarande tillgänglig på internet utan ett lösenord. Den goda nyheten är att de medicinska underlagen har tagits bort från databasen. Men att ta bort dessa poster var inte en lätt uppgift och det tog mer än tre veckor att få dem att tas offline.
Databasen upptäcktes av Bob Diachenko, en säkerhetsforskare med it-säkerhet konsultföretaget Security Upptäckt, i början av Mars 2019.
Forskaren: s första försök att säkra servern misslyckades. På grund av arten av de uppgifter, kontaktade forskaren ZDNet för att få hjälp, men våra ansträngningar att kontakta den myndighet var på samma sätt utan frukt.
Databasen blev så småningom säkras med hjälp av Computer Emergency Response Team (CERT) i Indien, men hela processen tog tre veckor, under vilken tid den server och patientuppgifter som var fortsatt utsatta för vem som helst att ladda ner.
Den myndighet som säkrade den läckande server förra fredagen, den 29 Mars. Eftersom MongoDB servern är fortfarande synliga på nätet, avslöjar andra organs verksamhet, ZDNet har beslutat att avstå från att namnge den Indiska staten för att förhindra ytterligare övergrepp av sina system.
Den känsliga naturen i den exponerade data
Men den läckande databasen inte innehåller några generisk journaler. Den exponerade medicinsk information som är ansluten till Pre-Conception och prenatal Diagnostik Lagen (PCPNDT), en Indisk lag som antogs 1994 som förbjöd prenatal sex bestämning i ett försök att hindra Indiska familjer från att avbryta ofödda flickor och skevning kön kön förhållande till män.
Enligt denna lag, medicinska test som kan avslöja ofödda barnets kön i Indien måste utföras endast för legitima medicinska skäl, och alla tester ska registreras, tillsammans med skälen för att utföra dem.
Läckande databas som Diachenko upptäckte var att hålla den digitaliserade versioner av medicinska formulär (Blankett F) går tillbaka så långt som till 2014.
Sett till ZDNet, Dr Krishna Shah, Bosatt på Sir Gangaram sjukhuset i Delhi, förklarade rollen av Formen F och om du lämnar sådan information som utsätts online betraktas som ett allvarligt intrång i den personliga integriteten.
“Varje gravid kvinna på hennes besök till gynekologen eller radiolog, som genomgår USG, fostervattenprov eller någon genetisk testning har att fylla formen F,” Dr. Shah berättade ZDNet.
“Andra än patienten detaljer, form har en förklaring av båda parterna att testet var gjort för att ta reda på könet på barnet och att göra abort […] var inte på grund av diskriminering på grund av kön – vilket är vad den Pre-Conception och prenatal Diagnostik Lagen syftar till att uppnå.”
×
5.png
×
7.png
Och precis som Dr. Shah berättade ZDNet, den information som lagras i den digitaliserade versioner av dessa former ingår en mängd personliga och medicinska recrods, såsom patientens namn, faderns namn, patientens adress, ålder, telefon-nummer, diagnos och information sjukdom, graviditet status, graviditetskomplikationer, det förfarande som patienten har genomgått, centrum där USG/fostervattensprov/genetiska testet var utfört, datum för testet, testresultat, person som mottar testresultaten, information om remitterande läkare och andra.
Förutom 7,5 miljoner digitaliserade versioner av Formen F, databasen innehöll också fem miljoner digitaliserade versioner av andra PCPNDT-relaterade former, såsom En Form, Form D, Form E, Form G, som innehåller liknande medicinska data.
Databasen också lagras uppgifter om läkare och vårdcentraler som var i besittning av ultraljud maskiner och annan medicinsk utrustning som skulle kunna ha använts för att bestämma en ofödda barnets kön.
Dessutom servern innehöll också klagomål mot läkare och vårdcentraler, och whistle-blowing rapporter om läkare och medicinska centra som utför tester för att fastställa barnets kön. Några exempel på dessa uppgiftslämnare rapporter [sic]:
Dear sir [CENSURERAT] diagnostiskt centrum [CENSURERAT] gör att fastställa barnets kön innan leverans från ultraljud dagligen och med bra pengar nära ca 3 till 4 tusen… Pls sir action…
Det är sex urval läger på [CENSURERAT] och organiseras av några från Bijnaur.
En anställd Sjuksköterska Nämligen [CENSURERAT] är Inblandade I Kvinnliga Foeticide Fall med hjälp av Dr [CENSURERAT]. Jag har Många klagat på henne i gemensamma organisationen av marknaden för kontor och DM kontor, men Inga åtgärder som vidtagits av honom. Hon hade sin abort på 26/27-10-2014 där finns också kvinnliga Foeticide fall, och jag har klagomål detta brott, men resultatet är noll.
En separat databas visade utvecklingen av några av dessa användar-rapporter och innehöll information om rättslig status i vissa klagomål som har gått till domstol efter regeringens utredning.
×
1.png
“Om form utgör ryggraden i den Pre-Conception och Pre-Natal Diagnostiska Tekniker fungerar, det är en fråga om personuppgifter om patienter är kvar oskyddad på internet,” Dr. Shah läggas till.
Lämnar sådana känsliga uppgifter inne i en passwordless MongoDB server är besläktad med att bryta läkare-patient sekretess.
När databasen inte innehåller information om alla graviditeter är inspelad inne i den namnlösa Indiska staten, den innehöll medicinska journaler för kvinnor som drabbats av komplikationer och aborter, data att vissa familjer skulle ha velat förbli privat, på grund av uppenbara skäl.
Mer dataintrång täckning:
Företag läcka känsliga filer via Rutan accountsBithumb cryptocurrency utbyte hackad tredje gången på två yearsCard brott redovisas på Buca di Beppo, Planet Hollywood, och andra restaurantsToyota meddelar andra brott mot säkerheten under de senaste fem veckorna
FEMA i “onödan” delade data 2,3 miljoner katastrofoffer med contractorCryptocurrency plattformar DragonEx och CoinBene avslöja hacksFacebook lösenord genom de hundratals miljoner lör utsatta i klartext CNET
Facebook data integritet skandal: En lathund TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter