Raport: Mii de înregistrări farmaceutice pierdute în posibilă încălcare a HIPAA
Echipa de cercetare a vpnMentor a descoperit o scurgere într-o bază de date cu privire la prescripția medicamentului Vascepa.
Echipa de cercetare, condusă de Noam Rotem și Ran Locar, a găsit mai multe seturi date nesecurizate și necriptate cu privire la Vascepa. Vascepa, un supliment pe bază de rețetă care ajută la scăderea trigliceridelor. Medicamentul pare a fi folosit de mai mult de 78.000 de pacienți.
Datele includ informații complete de identificare pentru cei peste 78.000 de pacienți care iau medicamentele. O a doua bază de date cu informații despre tranzacții a fost de asemenea disponibilă.
Datele despre pacient includ numele pacientilor, adrese, numere de telefon, și adrese de email. În plus, putem accesa informațiile de tranzacție care înregistrează medic prescriptor, al lor Număr NPI, si informațiile farmaciei.
Am găsit datele printr-o bază de date MongoDB configurată necorespunzător, care a fost lăsată deschisă și expusă pentru a permite accesul oricui pe internet. Considerăm că baza de date ar putea aparține ConnectiveRX câteva zile după descoperirea datelor. I-am contactat apoi pentru a-i avertiza asupra scurgerii.
Pe 18 iunie, am primit un mesaj pe Twitter de la David Yakimischak, CTO al ConnectiveRx. El a scris: „Baza de date la care se face referire în articolul recent despre media nu este o bază de date la care noi păstrăm sau chiar avem acces. Nu folosim acest sistem de gestionare a bazelor de date deloc pentru niciunul dintre programele noastre. “
Exemple de intrări în baza de date
Vascepa este un medicament pe bază de rețetă fabricat de Amarin. Medicamentul, destinat să ajute la scăderea trigliceridelor ridicate, este luat de mai mult decât 78.000 de pacienți. Pe baza încălcării bazei de date, am știut că au existat 390.000+ tranzacții al lui Vascepa.
Medicatia este unica prin faptul ca scade trigliceridele fara a creste LDL-ul pacientului sau colesterolul rau. Vascepa se evidențiază de la alte suplimente Omega-3 din lipsa sa de DHA, un acid gras Omega-3 care s-a dovedit că crește LDL. Este disponibil numai cu rețetă.
Date incluse în încălcare
Informații pentru pacient
- Numele complet
- Abordare
- Număr de telefon
- Adresa de email
Informații despre tranzacție
- ID farmacie
- Nume farmacie
- Adresa farmaciei
- Doctor prescriptor
- Număr NPI (furnizor național de identificare)
- Membru ID
- Număr E-Profile NABP (Asociația Națională a Colegiilor de Farmacie)
Din datele de mai sus putem vedea că pacienții informații complete de identificare este ușor accesibil în baza de date. Cu a lor numele și adresa, este ușor să găsești o cantitate mare de informații despre acestea. În special, există coduri de identitate pentru alte două companii, Constant Contact, o platformă de email marketing și PSKW, denumirea legală a unui program de prescripție electronică, ConntectiveRX.
Banuim ca baza de date poate aparțin ConnectiveRX, având în vedere consistența etichetelor din date. Cu toate acestea, am găsit doar date cu privire la rețetele Vascepa, ceea ce face mai puțin clar de unde s-a produs scurgerea.
Accesul la o listă completă de numere de telefon mobil și adrese de e-mail este o invitație pentru atac.
Acest al doilea exemplu provine dintr-oa doua bază de date. Noi avem 391,649 tranzacții de cumpărare pentru Vascepa. Informațiile stocate în cadrul tranzacțiilor includ toate informațiile despre farmaciile unde s-a completat rețeta. Aceasta include numărul profilului electronic pentru farmacist, care urmărește rețetele pe care le completează, printre altele.
În plus, avem informațiile complete pentru prescriptor. Aceasta include numele complet, genul de licență medicală pe care îl dețin, adresa practicii lor și numerele NPI.
Impactul încălcării datelor
Datele de sănătate, precum cele scurse din baza de date Vascepa, apar sub umbrela informațiile reglementate de norma de confidențialitate HIPAA. Conform acestei reguli, informațiile despre pacienți, chiar și într-o industrie asociată, nu trebuie publicate cu identificatori, cu excepția cazului în care pacientul este convenit.
Fișele medicale sunt ferit de accesul publicului pentru a asigura confidențialitatea și securitatea pacientului. Pot fi multe consecințe severe dacă istoricul medical este împărtășit fără acordul unei persoane. Se pot confrunta discriminarea de la un loc de muncă sau se găsesc în mijlocul unui conflict familial. Multe persoane ar putea considera istorice medicale jenante. În unele cazuri, istoricul medical este folosit ca șantaj. Păstrarea datelor de sănătate protejate poate mențineți pacienții mai în siguranță pe termen lung.
După cum vedem în datele de mai sus, a avea o adresă de e-mail a unui pacient sau un număr de telefon este un mod ușor de a iniția un atac masiv de spam sau malware. Accesul la informațiile private de sănătate ale pacientului facilitează comiterea de fraude. În acest caz, nu avem o legătură directă între pacient și prescriptorul său, dar aceste informații ar putea fi folosite pentru a induce în eroare un pacient dacă cineva ar găsi.
Există, de asemenea, posibilitatea ca informațiile medicului să poată fi folosite greșit de către cineva care a găsit-o și care a înțeles procedura de apelare și completare a rețetelor. Pe măsură ce e-prescrierea devine mai populară, farmaciile au adoptat autentificarea cu mai mulți factori pentru a preveni frauda pe bază de rețetă, mai ales când vine vorba de substanțe controlate.
Încălcările de date din industria asistenței medicale sunt din ce în ce mai frecvente. Prin urmare, securitatea cibernetică este o problemă stringentă în toate industriile. Frecvența cu care scurgerile de date de sănătate a dus la adoptarea de noi standarde de securitate pentru companiile de sănătate care lucrează cu baze de date online.
Una dintre principalele cerințe este ca toate datele stocate în baza de date trebuie criptate. În acest fel, chiar dacă scurge, datele ar trebui să nu poată fi citite. După cum putem vedea în cazul lui Vascepa, nu a existat un nivel de criptare care să protejeze aceste informații sensibile. HIPAA oferă companiilor care lucrează cu date medicale virtuale o listă de verificare pentru respectarea securității.
Companiile medicale care fac acest lucru suferă o încălcare a datelor se poate confrunta cu amenzi severe, în funcție de câtă neglijență sunt vinovați. Conform regulii de aplicare a HIPAA, chiar „o încălcare atribuită ignoranței poate atrage o amendă de 100 $ – 50.000 $ ″ per încălcare.
Acestea sunt doar consecințele aplicării HIPAA în sine. Când apar scurgeri, companiile se pot confrunta în continuare cu procese civile de la victimele scurgerilor deasupra penalităților financiare. Două dintre cele mai comune motive pentru amenzi includ să nu existe protecție pentru înregistrările pacienților și să nu existe măsuri de securitate adecvate pentru protejarea înregistrărilor electronice.
Sfaturi ale experților
Vascepa ar fi putut împiedica cu ușurință o încălcare a datelor de acest fel mai multe măsuri de securitate de bază. Următoarele sfaturi sunt câteva etape de bază pentru prevenirea sau corecția unei scurgeri într-o bază de date.
- Asigurați-vă serverele.
- Implementați reguli de acces adecvate.
- Nu lăsați niciodată un sistem care nu necesită autentificare deschisă pe internet.
Pentru un ghid mai detaliat despre cum să vă protejați afacerea, verificați cum să vă asigurați site-ul și baza de date online de hackeri.
Cum și de ce am descoperit încălcarea
Am descoperit această scurgere de date ca parte a scării noastre mari proiect de mapare web. Porturi de scanare Ran și Noam care caută blocuri IP cunoscute. După ce au descoperit aceste blocuri, le pot folosi caută găuri în sistemul unui site web.
Atunci când găsesc date scurse, folosesc mai multe tehnici experte pentru verificați identitatea bazei de date. Atunci noi avertizați compania cu privire la încălcare. Dacă este posibil, îi vom avertiza și pe cei afectați de încălcare. Scopul proiectului este de a ajuta face internetul mai sigur pentru toți utilizatorii.
Despre noi și rapoarte anterioare
vpnMentor este cel mai mare site de revizuire VPN din lume. Laboratorul nostru de cercetare este un serviciu pro bono care se străduiește să facă ajută comunitatea online să se apere împotriva amenințărilor cibernetice în timp ce educă organizațiile cu privire la protejarea datelor utilizatorilor lor.
Recent am descoperit o încălcare uriașă a datelor care a afectat 80 de milioane de gospodării din SUA. De asemenea, am dezvăluit că Gearbest a cunoscut o încălcare masivă a datelor. De asemenea, poate doriți să citiți raportul nostru privind scăpările VPN și raportul cu statistici privind confidențialitatea datelor.
Vă rog împărtășește acest raport pe Facebook sau tweet-o.
17.04.2023 @ 21:33
elor cu privire la prescripția medicamentului Vascepa, sunt extrem de sensibile și ar trebui să fie protejate cu cea mai mare grijă. Este îngrijorător faptul că o bază de date cu informații complete de identificare pentru peste 78.000 de pacienți a fost lăsată deschisă și expusă pentru a permite accesul oricui pe internet. Această scurgere poate avea un impact negativ asupra pacienților, care ar putea fi expuși la riscuri de securitate și de confidențialitate. De asemenea, poate afecta reputația companiei care deține baza de date și poate duce la pierderea încrederii pacienților și a partenerilor de afaceri. Este important ca toate companiile să ia măsuri adecvate pentru a proteja datele sensibile ale pacienților și să se asigure că bazele de date sunt configurate și gestionate corespunzător.