Únik více než 8 milionů záznamů o pacientech v důsledku narušení zabezpečení dat

Za poslední desetiletí se zdravotnická data stala jedním z nejvyhledávanějších cílů kyberkriminality. Od pojišťoven po kliniky, každý účastník v tomto ekosystému zpracovává nějaké citlivé informace.

Porušení zabezpečení však nepocházejí vždy z nemocnic nebo zdravotnických aplikací. Stále častěji jsou data pacientů spravována třetími stranami, které nabízejí digitální služby, jako je plánování schůzek, fakturace a marketing.

Jeden takový únik dat u digitální marketingové agentury, která obsluhuje zubní ordinace, nedávno odhalil přibližně 2,7 milionu profilů pacientů a více než 8,8 milionu záznamů o schůzkách.

Výzkumníci z Cybernews objevili nesprávně nakonfigurovanou databázi MongoDB, která odhalila 2,7 milionu profilů pacientů a 8,8 milionu záznamů o schůzkách. Databáze byla veřejně přístupná online, bez ochrany heslem nebo autentizačními protokoly. Kdokoli se základními znalostmi nástrojů pro skenování databází k ní mohl přistupovat.

Odhalená data zahrnovala jména, data narození, adresy, e-maily, telefonní čísla, pohlaví, ID záznamů, jazykové preference a klasifikaci fakturace. Záznamy o schůzkách obsahovaly také metadata, jako jsou časové značky a identifikační údaje institucí.

Stopy ve struktuře dat ukazují na společnost Gargle se sídlem v Utahu, která vytváří webové stránky a nabízí marketingové nástroje pro zubní ordinace. Ačkoli to není potvrzený zdroj, několik interních odkazů a systémových detailů naznačuje silné spojení. Gargle poskytuje služby plánování schůzek, odesílání formulářů a komunikaci s pacienty. Tyto funkce vyžadují přístup k informacím o pacientech, což z firmy dělá pravděpodobný článek v tomto úniku.

Po nahlášení problému byla databáze zabezpečena. Doba expozice zůstává neznámá a neexistují žádné veřejné důkazy o tom, zda si data stáhli škodliví aktéři před uzamčením.

Kontaktovali jsme společnost Gargle s žádostí o komentář, ale do uzávěrky jsme nedostali odpověď.

Odhalená data představují široké bezpečnostní riziko. Samotné telefonní číslo nebo fakturační záznam se může zdát omezený. V kombinaci však soubor dat tvoří kompletní profil, který lze zneužít pro krádež identity, pojistné podvody a cílené phishingové kampaně.

Krádež lékařské identity umožňuje útočníkům vydávat se za pacienty a získávat přístup ke službám pod falešnou identitou. Oběti si často neuvědomují škody, dokud nedojde k významným škodám, od nesprávných lékařských záznamů až po nezaplacené účty na jejich jméno. Únik také otevírá dveře k pojistným podvodům, kdy aktéři používají institucionální odkazy a data z grafu k podávání falešných nároků.

Tento typ narušení vyvolává otázky ohledně dodržování zákona o přenositelnosti a odpovědnosti za zdravotní pojištění (HIPAA), který nařizuje silná bezpečnostní opatření pro subjekty, které zpracovávají data pacientů. Ačkoli Gargle není poskytovatelem zdravotní péče, jeho přístup k infrastruktuře orientované na pacienty by jej mohl zařadit do působnosti této regulace jako obchodního partnera.

Pokud byly vaše informace součástí úniku zdravotnických dat nebo podobného úniku, je vhodné podniknout několik kroků k ochraně.

1. Zvažte služby ochrany před krádeží identity: Jelikož únik zdravotnických dat odhalil osobní a finanční informace, je nezbytné být proaktivní proti krádeži identity.

2. Používejte služby pro odstraňování osobních údajů: Únik zdravotnických dat uniká mnoho informací o vás, a to vše by mohlo skončit na veřejném internetu, což dává každému příležitost vás podvést.

3. Mějte silný antivirový software: Útočníci mají e-mailové adresy a plná jména, což jim usnadňuje zasílání phishingových odkazů, které instalují malware a kradou všechna vaše data.

4. Povolte dvoufaktorové ověřování: I když hesla nebyly součástí úniku dat, stále je nutné povolit dvoufaktorové ověřování (2FA).

5. Buďte opatrní při komunikaci poštou: Zlí aktéři se vás mohou pokusit podvést i prostřednictvím pošty.

Tento poslední únik ukazuje, jak špatně se dnes s daty pacientů zachází. Stále více nelékařských dodavatelů získává přístup k citlivým informacím bez stejných pravidel nebo dohledu jako nemocnice a kliniky.