Laporan: Beribu-ribu Rekod Farmasi Membanteras Pelanggaran HIPAA yang Mungkin


Pasukan penyelidikan vpnMentor telah menemui kebocoran dalam pangkalan data mengenai ubat preskripsi Vascepa.

Pasukan penyelidikan yang diketuai oleh Noam Rotem dan Ran Locar mendapati beberapa set data yang tidak bercagar dan tidak disyorkan mengenai Vascepa. Vascepa, suplemen preskripsi yang membantu menurunkan trigliserida. Dadah nampaknya digunakan lebih daripada 78,000 pesakit.

Data termasuk maklumat mengenal pasti sepenuhnya untuk 78,000 pesakit yang mengambil ubat itu. Pangkalan data kedua dengan maklumat transaksi juga tersedia.

Data pesakit termasuk nama pesakit, alamat, nombor telefon, dan alamat e-mel. Di samping itu, kami boleh mengakses maklumat urus niaga yang merekodkan menetapkan doktor, mereka Nombor NPI, dan juga maklumat farmasi.

Kami mendapati data melalui pangkalan data MongoDB yang tidak dikonfigurasikan secara tidak betul, yang dibiarkan terbuka dan terdedah untuk membolehkan akses oleh sesiapa sahaja di internet. Kami percaya pangkalan data boleh menjadi milik ConnectiveRX beberapa hari selepas menemui data. Kami kemudian menghubungi mereka untuk memaklumkan kepada mereka kebocoran.

Pada 18 Jun, kami menerima mesej Twitter daripada David Yakimischak, CTO of ConnectiveRx. Beliau menulis, "Pangkalan data yang dirujuk dalam artikel media baru-baru ini bukanlah pangkalan data yang kita simpan atau bahkan mempunyai akses kepada. Kami tidak menggunakan sistem pengurusan pangkalan data untuk semua program kami. "

Contoh Penyertaan dalam Pangkalan Data

Vascepa adalah ubat preskripsi yang dihasilkan oleh Amarin. Dadah, yang bertujuan untuk membantu mengurangkan trigliserida tinggi, diambil lebih daripada 78,000 pesakit. Berdasarkan pelanggaran pangkalan data yang kami dapati, kami tahu ada 390,000+ transaksi daripada Vascepa.

Ubat ini adalah unik kerana ia menurunkan trigliserida tanpa meningkatkan LDL pesakit, atau kolesterol jahat. Vascepa menonjol dari makanan tambahan Omega-3 yang lain kerana kekurangan DHA, asid lemak Omega-3 yang telah ditunjukkan untuk meningkatkan LDL. Ia hanya boleh didapati dengan preskripsi.

Data Termasuk dalam Pelanggaran

Maklumat Pesakit

  • Nama penuh
  • Alamat
  • Nombor telefon bimbit
  • Alamat emel

Maklumat Transaksi

  • ID Farmasi
  • Nama Farmasi
  • Alamat Farmasi
  • Menetapkan Doktor
  • Nombor NPI (Pengenal Kebangsaan Pembekal)
  • ID ahli
  • Nombor E-Profile NABP (Persatuan Kebangsaan Lembaga Farmasi)

Laporan: Beribu-ribu Rekod Farmasi Membanteras Pelanggaran HIPAA yang Mungkin

Kita dapat melihat dari data di atas bahawa pesakit ' maklumat mengenal pasti sepenuhnya mudah diakses dalam pangkalan data. Dengan mereka nama dan alamat, mudah untuk mencari maklumat yang banyak tentang mereka. Terutamanya, ada Kod id untuk dua syarikat lain, Hubungi Tetap, platform pemasaran e-mel dan PSKW, nama undang-undang untuk program preskripsi elektronik, ConntectiveRX.

Kami mengesyaki pangkalan data boleh milik ConnectiveRX, memandangkan konsisten tag dalam data. Walau bagaimanapun, kami hanya mendapati data mengenai preskripsi Vascepa, yang menjadikannya kurang jelas di mana kebocoran itu berasal.

Mempunyai akses ke senarai lengkap nombor telefon dan alamat e-mel adalah jemputan untuk serangan.

Laporan: Beribu-ribu Rekod Farmasi Membanteras Pelanggaran HIPAA yang Mungkin

Contoh kedua ini berasal dari pangkalan data kedua. Kami ada 391,649 transaksi pembelian untuk Vascepa. Maklumat yang disimpan di bawah transaksi termasuk semua maklumat mengenai farmasi di mana preskripsi dipenuhi. Ini termasuk nombor e-profil untuk ahli farmasi, yang menjejaki preskripsi yang mereka isi, antara lain.

Di samping itu, kami mempunyai maklumat lengkap untuk prescriber. Ini termasuk mereka nama penuh, jenis lesen perubatan yang mereka pegang, alamat amalan mereka, dan nombor NPI mereka.

Kesan Pelanggaran Data

Data kesihatan seperti apa yang bocor dari pangkalan data Vascepa nampaknya jatuh di bawah payung maklumat yang dilindungi oleh Peraturan Privasi HIPAA. Di bawah peraturan ini, maklumat pesakit, walaupun dalam industri yang berkaitan, tidak boleh dilepaskan dengan mana-mana pengecam, melainkan jika dipersetujui oleh pesakit itu sendiri.

Rekod perubatan adalah dilindungi daripada akses awam untuk memastikan privasi dan keselamatan pesakit. Boleh jadi ramai akibat yang teruk jika sejarah perubatan dikongsi tanpa persetujuan seseorang. Mereka boleh menghadapi diskriminasi daripada pekerjaan atau mendapati diri mereka berada di tengah-tengah konflik keluarga. Ramai orang mungkin mendapati sejarah perubatan mereka memalukan. Dalam beberapa kes, sejarah perubatan digunakan sebagai pemerasan. Menjaga keselamatan data kesihatan boleh menjaga pesakit lebih selamat dalam jangka masa yang panjang.

Seperti yang kita lihat dalam data di atas, mempunyai alamat e-mel atau nombor telefon pesakit adalah cara mudah untuk memulakan serangan besar-besaran spam atau malware.  Akses kepada maklumat kesihatan peribadi pesakit memudahkan untuk melakukan tindakan penipuan. Dalam kes ini, kita tidak mempunyai hubungan langsung antara pesakit dan prescriber mereka, tetapi maklumat itu boleh digunakan untuk mengelirukan pesakit jika seseorang mendapatinya.

Terdapat juga kemungkinan bahawa maklumat doktor boleh disalahgunakan oleh seseorang yang mendapati dan memahami prosedur untuk memanggil dan mengisi preskripsi. Sebagai e-preskripsi menjadi lebih popular, farmasi telah menerima pakai pengesahan pelbagai faktor untuk mencegah penipuan preskripsi, terutamanya ketika datang ke bahan terkawal.

Pelanggaran data dalam industri penjagaan kesihatan menjadi semakin umum. Oleh itu, masalah keselamatan siber adalah isu yang mendesak di semua industri. Kekerapan kebocoran data kesihatan telah membawa kepada penerapan standard keselamatan baru untuk syarikat penjagaan kesihatan yang bekerja dengan pangkalan data dalam talian.

Salah satu keperluan utama ialah semua data yang disimpan dalam pangkalan data mestilah disulitkan. Dengan cara ini, walaupun kebocoran itu, data tidak boleh dibaca. Seperti yang dapat kita lihat dalam kes Vascepa, tidak ada tahap penyulitan yang melindungi maklumat sensitif ini. HIPAA menawarkan syarikat-syarikat yang bekerja dengan data medis maya sebagai senarai semak untuk pematuhan keselamatan.

Syarikat penjagaan kesihatan yang berbuat demikian mengalami pelanggaran data boleh dikenakan denda teruk, bergantung kepada berapa banyak kecuaian mereka bersalah. Menurut peraturan penguatkuasaan HIPAA, bahkan "pelanggaran yang disebabkan oleh ketidaktahuan dapat menarik denda $ 100 - $ 50,000 " setiap pelanggaran.

Ini hanya akibat daripada menguatkuasakan HIPAA itu sendiri. Apabila berlaku kebocoran, syarikat masih boleh menghadapi saman sivil dari mangsa kebocoran di atas denda kewangan. Dua sebab yang paling biasa untuk denda termasuk tidak mempunyai perlindungan untuk rekod pesakit dan tidak mempunyai langkah-langkah keselamatan yang sesuai untuk melindungi rekod elektronik.

Nasihat daripada Pakar

Vascepa dapat dengan mudah menghalang pelanggaran data seperti ini beberapa langkah keselamatan asas. Petua berikut adalah beberapa langkah asas untuk mencegah atau menampal kebocoran dalam pangkalan data.

  1. Selamatkan pelayan anda.
  2. Laksanakan peraturan akses yang betul.
  3. Jangan biarkan sistem yang tidak memerlukan pengesahan terbuka ke internet.

Untuk panduan yang lebih mendalam tentang cara melindungi perniagaan anda, lihat cara untuk mendapatkan tapak web dan pangkalan data dalam talian daripada penggodam.

Bagaimana dan Kenapa Kami Menemui Pelanggaran

Kami mendapati kebocoran data ini sebagai sebahagian daripada skala besar kami projek pemetaan web. Ran dan Noam mengimbas pelabuhan mencari blok IP yang diketahui. Sebaik sahaja mereka telah menemui blok ini, mereka boleh menggunakannya mencari lubang dalam sistem laman web.

Apabila mereka mendapati data yang bocor, mereka menggunakan beberapa teknik pakar untuk mengesahkan identiti pangkalan data. Kami kemudiannya memaklumkan syarikat tersebut kepada pelanggaran tersebut. Jika boleh, kami juga akan memberi amaran kepada mereka yang terjejas oleh pelanggaran tersebut. Tujuan projek ini adalah untuk membantu membuat internet lebih selamat untuk semua pengguna.

Tentang Kami dan Laporan Terdahulu

vpnMentor adalah laman web semakan VPN terbesar di dunia. Makmal penyelidikan kami adalah perkhidmatan pro bono yang berusaha membantu komuniti dalam talian mempertahankan dirinya sendiri terhadap ancaman siber semasa mendidik organisasi untuk melindungi data pengguna mereka.

Kami baru-baru ini menemui pelanggaran data yang besar yang menjejaskan 80 juta isi rumah AS. Kami juga mendedahkan bahawa Gearbest mengalami pelanggaran data secara besar-besaran. Anda juga mungkin mahu membaca Laporan Kebocoran VPN dan Statistik Statistik Data kami.

Tolong kongsi laporan ini di Facebook atau tweet itu.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me