En database, der administreres af en Indisk regering sundhedspleje agenturet var venstre forbindelse til Internettet uden et password, hvor det er udsat mere end 12,5 millioner journaler for gravide kvinder, ZDNet har lært.
Posterne går så langt tilbage som for fem år, til 2014, og omfatter detaljerede lægelige oplysninger for kvinder, der gennemgik en ultralyd scanning, fostervandsprøve, eller andre genetiske test af deres ufødte barn.
Databasen ejer
Databasen tilhørte Institut for Medicinsk, Sundheds-og Familiens Velfærd i en stat, i det nordlige Indien. ZDNet har afstået fra at navngivning af staten.
Årsagen er, at databasen er stadig tilgængelig online uden en adgangskode. Den gode nyhed er, at den medicinske journaler er blevet fjernet fra databasen. However, at fjerne disse optegnelser var ikke en nem opgave, og det tog mere end tre uger at få dem taget offline.
Databasen blev opdaget af Bob Diachenko, en sikkerhedsekspert med cyber-sikkerhed konsulentfirma Sikkerhed Opdagelse i begyndelsen af Marts 2019.
Forskernes indledende forsøg på at sikre server var forgæves. På grund af arten af de data, forskeren kontaktet ZDNet for at få hjælp, men vores bestræbelser på at kontakte det statslige organ, var ligeledes uden frugt.
Databasen blev i sidste ende sikret med hjælp af Computer Emergency Response Team (CERT), i Indien, men hele processen tog tre uger, i hvilket tidsrum den server og de medicinske optegnelser forblev udsat for nogen at hente.
Regeringen agentur sikret den utætte server sidste fredag, 29 Marts. Fordi MongoDB server er stadig udsat online, afsløre andre agentur operationer, ZDNet har besluttet at afstå fra at navngive den Indiske stat for at forebygge yderligere misbrug af sine systemer.
Den følsomme karakter af fritliggende data
Men den utætte databasen ikke indeholder bare nogle generiske medicinske journaler. Den udsatte medicinske oplysninger, der er tilsluttet Pre-Opfattelse og prænatale Diagnostiske Teknikker Handle (PCPNDT), en Indisk lov, der er vedtaget i 1994, der forbød prænatal køn bestemmelse i et forsøg på at forhindre Indiske familier fra afbrydelse af ufødte piger og skævvridning køn kønsfordelingen i retning af hanner.
I henhold til denne lov, enhver medicinsk test, der kan afsløre et ufødt barns køn i Indien må kun foretages for legitim medicinsk begrundelse, og alle prøver skal registreres, sammen med de grunde, til at udføre dem.
Den utætte database, der Diachenko opdagede var i besiddelse af de digitaliserede versioner af medicinske formularer (Formular F) går så langt tilbage som i 2014.
Tale til ZDNet, Dr. Krishna Shah, en Beboer på Sir Gangaram hospital i new Delhi, forklarede den rolle, af Formen F, og hvis efterlade sådanne oplysninger udsat online betragtes som et alvorligt privacy issue.
“Alle gravide kvinde om hendes besøg til gynækolog eller radiolog, der gennemgår USG, fostervandsprøve eller en genetisk test har til at udfylde formen F,” Dr. Shah fortalte ZDNet.
“Andre end patienten oplysninger, den form har en erklæring fra begge parter, at testen blev udført for at finde ud af kønnet på barnet, og en abort […] var ikke på grund af køn – hvilket er, hvad Pre-Opfattelse og prænatale Diagnostiske Teknikker Loven har til formål at opnå.”
×
5.png
×
7.png
Og ligesom Dr. Shah fortalte ZDNet, de oplysninger, der er gemt i det digitaliserede versioner af disse former indgår et væld af personlige og medicinske recrods, såsom patientens navn, faders navn, patientens adresse, hendes alder, en telefon kontakt nummer, diagnose og sygdom, information, graviditet status, graviditet komplikationer, kan den procedure, patienten har gennemgået, center, hvor USG/fostervandsprøve/genetiske test blev udført, dato for test, test resultater, person, der har modtaget testresultater, oplysninger om de henvisende læger og andre.
Ud over 7,5 millioner digitaliserede versioner af Form F, databasen også indeholdt fem millioner digitaliserede versioner af andre PCPNDT-relaterede former, såsom En Form, Form D, E, Form og G, der indeholder lignende medicinske data.
Databasen også gemt data om læger og medicinske centre, der var i besiddelse af ultralyd maskiner og andet medicinsk udstyr, der kunne have været brugt til at bestemme en ufødte barns køn.
Hertil kommer, at den server, der også indeholdt klager over læger og medicinske centre, og whistle-blowing rapporter om læger og medicinske centre, der udfører køn bestemmelse tests. Nogle eksempler på disse whistleblower-rapporter [sic]:
Kære sir [REDACTED] diagnostisk center [REDACTED] er at gøre køn bestemmelse før levering fra ultralyd daglige og tage gode penge i nærheden af omkring 3 til 4 tusind… Pls sir tage aktion…
Der er sex udvalg lejre på [REDACTED] og arrangeret af nogle fra Bijnaur.
En ansat Sygeplejerske Nemlig [REDACTED] er Involveret I Kvindelige Foeticide Tilfælde med hjælp af Dr. [REDACTED]. Jeg har Mange klagede over mod hende i fælles MARKEDSORDNING kontor & DM i office, men Ingen handling taget af ham. Hun havde sin abort på 26/27-10-2014 der er også kvindelige Foeticide tilfælde, og jeg har klage denne kriminalitet, men at resultatet er nul.
En separat database viste, at udviklingen i nogle af disse bruger rapporter og indeholdt oplysninger om den juridiske status af klager, som er gået til domstolen efter en regerings undersøgelse.
×
1.png
“Selv om den form, der danner rygraden i den Pre-Opfattelse og prænatale Diagnostiske Teknikker Handle, det er et problem, hvis de personlige oplysninger om patienter, der er tilbage ubeskyttet på internettet,” Dr. Shah tilføjet.
Forlader sådanne følsomme oplysninger inde i en passwordless Cvs-server svarer til at bryde læge-patient fortrolighed.
Mens databasen ikke indeholder oplysninger om alle graviditeter, der er registreret inde i unavngiven Indisk stat, det gjorde indeholde journaler for kvinder, der har lidt graviditeten, komplikationer og aborter, data, at nogle familier ville have foretrukket at forblive privat, på grund af åbenlyse årsager.
Mere data, brud dækning:
Virksomheder, der er lækker følsomme filer via Boksen accountsBithumb cryptocurrency udveksling hacket for tredje gang i to yearsCard overtrædelse indberettes på Buca di Beppo, Planet Hollywood, og andre restaurantsToyota annoncerer andet brud på sikkerheden i de sidste fem uger
FEMA ‘unødvendigt’ fælles data på 2,3 mio. katastroferamte med contractorCryptocurrency platforme DragonEx og CoinBene videregive hacksFacebook adgangskoder af de hundreder af millioner sad udsat i almindelig tekst CNET
Facebook data privacy skandale: Et cheat sheet TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre