Bunke af medicinske piller, i hvid, blå og andre farver. Piller i plast pakke. Begrebet sundhedsydelser og medicin.
Getty Images/iStockphoto
En database MongoDB blev efterladt åben på internettet uden en adgangskode, og ved at gøre dette, udsættes de personlige detaljer og recept oplysninger for mere end på 78.000 OS patienter.
Den utætte database blev opdaget af den sikkerhed team på vpnMentor, ledet af Noam Rotem og Løb Locar, der delte deres resultater udelukkende med ZDNet tidligere i denne uge.
Databasen indeholder oplysninger om 391,649 recepter for et stof ved navn Vascepa, der bruges til at sænke triglycerider (fedtstoffer) hos voksne, der er på et lavt fedtindhold og lav kolesterol kost.
Derudover indeholder databasen også indeholdt den kollektive oplysninger over på 78.000 patienter, der blev ordineret Vascepa i fortiden.
Lækket oplysninger, der indgår patient data såsom navne, adresser, mobilnumre og e-mail-adresser, men også recept info såsom ordinerende læge, apotek oplysninger, NPI-nummer (National Leverandør-Id), NABP E-Profil Nummer (National Association of Boards of Pharmacy), og meget mere.
Billede: vpnMentor
Ifølge vpnMentor team, alle recept poster blev mærket som stammer fra PSKW, den juridiske betegnelse for en virksomhed, der giver patienten og udbyder beskeder, co-betaler, og bistand til programmer for sundhedssektoren organisationer via en service, der hedder ConntectiveRX.
“Vi har mistanke om, at databasen kan tilhøre ConnectiveRX, da konsekvensen af tags i data,” den vpnMentor holdet. “Men vi har kun fundet oplysninger om Vascepa recepter, hvilket gør det mindre klart, hvor lækagen opstod.”
Det kan have været PSKW sig selv, eller af en partner, et test-system, eller data, der muligvis er stjålet fra en ukendt enhed.
ZDNet nåede ud til PSKW søger bekræftelse på, at selskabet ejede udsat database eller yderligere oplysninger om den mulige kilde/partner, der kan være ejer af den utætte DB, men vi har ikke hørt fra firmaet.
ZDNet også nået ud til Amarin, maker af Vascepa stof, søger også hjælp til at opspore database ejer eller andre supplerende oplysninger, men Amarin ikke returnere vores e-mail.
vpnMentor argumenterer for at enhver, som venstre, at databasen åben — kan det være PSKW eller en af dets partnere — har overtrådt HIPAA, og kan være i kø for at få en klækkelig bøde for ikke at kryptere patient data, den havde gemt på database-server, en HIPAA gyldne regel. Dog enighed om, at administrator af DataBreaches.net, en hjemmeside dedikeret til sporing af brud på datasikkerheden, og HIPAA krænkelser, fortalte ZDNet, at bare fordi et system, butikker medicinsk information, er det ikke ensbetydende med, at det nødvendigvis er omfattet af HIPAA. Indtil databasen ejer er fundet, ingen andre kan drages konklusioner.
Mere data, brud dækning:
Evite e-invitere hjemmeside indrømmer sikkerhed breachEatStreet mad bestilling service oplyser, sikkerhed breachAd agentur utætheder data om OS militære veteraner’ bekæmpe injuriesEquifax brud påvirket af online-ID verifikation proces på mange AMERIKANSKE agenturer govt
AMCA bruddet er nu gået over 20 millioner markCBP siger hackere stjal nummerplader og rejsende’ photosFacebook adgangskoder af de hundreder af millioner sad udsat i almindelig tekst CNET
Den største cybersecurity overtrædelser af de seneste tre år TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre