Melaporkan: Ribuan Catatan Farmasi Kebocoran Kemungkinan Pelanggaran HIPAA


Tim peneliti vpnMentor telah menemukan kebocoran di database tentang resep obat Vascepa.

Tim peneliti, yang dipimpin oleh Noam Rotem dan Ran Locar menemukan beberapa set data tanpa jaminan dan tidak terenkripsi tentang Vascepa. Vascepa, suplemen resep yang membantu menurunkan trigliserida. Obat tersebut tampaknya digunakan oleh lebih dari satu 78.000 pasien.

Data termasuk informasi identifikasi lengkap untuk 78.000+ pasien siapa yang minum obat. Basis data kedua dengan informasi transaksi juga tersedia.

Data pasien termasuk nama pasien, alamat, nomor telepon, dan alamat email. Selain itu, kami dapat mengakses informasi transaksi yang mencatat resep dokter, mereka Nomor NPI, dan informasi farmasi.

Kami menemukan data melalui database MongoDB yang tidak dikonfigurasi dengan benar, yang dibiarkan terbuka dan terbuka untuk memungkinkan akses oleh siapa saja di internet. Kami percaya bahwa basis data dapat menjadi milik ConnectiveRX beberapa hari setelah menemukan data. Kami kemudian menghubungi mereka untuk memberi tahu mereka tentang kebocoran.

Pada 18 Juni, kami menerima pesan Twitter dari David Yakimischak, CTO dari ConnectiveRx. Dia menulis, “Basis data yang dirujuk dalam artikel media baru-baru ini bukan basis data yang kami pertahankan atau bahkan miliki. Kami sama sekali tidak menggunakan sistem manajemen basis data itu untuk semua program kami. "

Contoh Entri dalam Database

Vascepa adalah obat resep yang diproduksi oleh Amarin. Obat, yang dimaksudkan untuk membantu menurunkan trigliserida tinggi, dikonsumsi lebih dari 78.000 pasien. Berdasarkan pelanggaran basis data yang kami temukan, kami tahu ada 390.000+ transaksi dari Vascepa.

Obat ini unik karena menurunkan trigliserida tanpa meningkatkan LDL pasien, atau kolesterol jahat. Vascepa menonjol dari suplemen Omega-3 lainnya karena kekurangan DHA, asam lemak Omega-3 yang telah terbukti meningkatkan LDL. Ini hanya tersedia dengan resep dokter.

Data Termasuk dalam Pelanggaran

Informasi pasien

  • Nama lengkap
  • Alamat
  • Nomor ponsel
  • Alamat email

Informasi Transaksi

  • ID Farmasi
  • Nama Farmasi
  • Alamat Farmasi
  • Dokter meresepkan
  • Nomor NPI (Pengidentifikasi Penyedia Nasional)
  • Tanda Anggota
  • Nomor E-Profil NABP (Asosiasi Nasional Dewan Farmasi)

Melaporkan: Ribuan Catatan Farmasi Kebocoran Kemungkinan Pelanggaran HIPAA

Kita dapat melihat dari data di atas bahwa pasien ' informasi pengidentifikasi lengkap mudah diakses dalam database. Dengan milik mereka Nama dan alamat, mudah untuk menemukan sejumlah besar informasi tentang mereka. Khususnya, ada kode id untuk dua perusahaan lain, Kontak Konstan, platform pemasaran email dan PSKW, nama resmi untuk program resep elektronik, ConntectiveRX.

Kami menduga database mungkin milik ConnectiveRX, diberikan konsistensi dari tag dalam data. Namun, kami hanya menemukan data mengenai resep Vascepa, yang membuatnya kurang jelas dari mana kebocoran itu berasal.

Memiliki akses ke daftar lengkap nomor ponsel dan alamat email adalah undangan untuk menyerang.

Melaporkan: Ribuan Catatan Farmasi Kebocoran Kemungkinan Pelanggaran HIPAA

Contoh kedua ini berasal dari database kedua. Kita punya 391,649 transaksi pembelian untuk Vascepa. Informasi yang disimpan dalam transaksi mencakup semua informasi tentang apotek tempat resep diisi. Ini termasuk nomor e-profil untuk apoteker, yang melacak resep yang mereka isi, antara lain.

Selain itu, kami memiliki informasi lengkap untuk prescriber. Ini termasuk nama lengkap, jenis lisensi medis yang mereka pegang, alamat tempat praktik mereka, dan nomor NPI mereka.

Dampak Pelanggaran Data

Data kesehatan seperti apa yang bocor dari database Vascepa tampaknya jatuh di bawah payung informasi yang dicakup oleh Peraturan Privasi HIPAA. Di bawah aturan ini, informasi pasien, bahkan dalam industri terkait, tidak boleh dirilis dengan pengidentifikasi apa pun, kecuali disetujui oleh pasien sendiri.

Catatan medis adalah dilindungi dari akses publik untuk memastikan privasi dan keamanan pasien. Mungkin ada banyak konsekuensi berat jika riwayat medis dibagikan tanpa persetujuan seseorang. Mereka bisa menghadapi diskriminasi dari suatu pekerjaan atau menemukan diri mereka di tengah konflik keluarga. Banyak orang mungkin merasa sejarah medis mereka memalukan. Dalam beberapa kasus, riwayat medis digunakan sebagai pemerasan. Menjaga agar data kesehatan tetap terlindungi menjaga pasien lebih aman dalam jangka panjang.

Seperti yang kita lihat di data di atas, memiliki alamat email atau nomor telepon pasien adalah cara mudah untuk memulai serangan massal spam atau malware.  Akses ke informasi kesehatan pribadi pasien membuatnya mudah untuk melakukan tindakan penipuan. Dalam hal ini, kami tidak memiliki tautan langsung antara pasien dan resep dokternya, tetapi informasi itu dapat digunakan untuk menyesatkan pasien jika seseorang menemukannya..

Ada juga kemungkinan bahwa informasi dokter dapat disalahgunakan oleh seseorang yang menemukannya dan memahami prosedur untuk memanggil dan mengisi resep. Saat e-resep menjadi lebih populer, apotek telah mengadopsi otentikasi multi-faktor untuk mencegah penipuan resep, terutama ketika datang ke zat yang dikendalikan.

Pelanggaran data dalam industri perawatan kesehatan menjadi semakin umum. Keamanan dunia maya, oleh karena itu, merupakan masalah mendesak di semua industri. Frekuensi kebocoran data kesehatan telah menyebabkan adopsi standar keamanan baru untuk perusahaan kesehatan yang bekerja dengan database online.

Salah satu syarat utama adalah itu semua data yang disimpan dalam database harus dienkripsi. Dengan cara ini, meskipun bocor, data harus tidak dapat dibaca. Seperti yang dapat kita lihat dalam kasus Vascepa, tidak ada tingkat enkripsi yang melindungi informasi sensitif ini. HIPAA menawarkan perusahaan yang bekerja dengan data medis virtual daftar periksa untuk kepatuhan keamanan.

Perusahaan kesehatan yang melakukannya menderita pelanggaran data dapat menghadapi denda yang parah, tergantung pada seberapa banyak kelalaian yang mereka lakukan. Menurut aturan penegakan HIPAA, bahkan “pelanggaran yang disebabkan ketidaktahuan dapat menarik denda $ 100 - $ 50.000 ″ per pelanggaran.

Ini hanya konsekuensi dari menegakkan HIPAA sendiri. Ketika kebocoran terjadi, perusahaan masih dapat menghadapi gugatan perdata dari para korban kebocoran di atas hukuman finansial. Dua alasan paling umum untuk denda termasuk tidak memiliki perlindungan untuk catatan pasien dan tidak memiliki langkah-langkah keamanan yang tepat untuk melindungi catatan elektronik.

Nasihat dari Para Ahli

Vascepa bisa dengan mudah mencegah pelanggaran data dengan ini beberapa langkah keamanan dasar. Tips berikut adalah beberapa langkah dasar untuk mencegah atau menambal kebocoran di database.

  1. Amankan server Anda.
  2. Terapkan aturan akses yang tepat.
  3. Jangan pernah meninggalkan sistem yang tidak memerlukan otentikasi terbuka ke internet.

Untuk panduan yang lebih mendalam tentang cara melindungi bisnis Anda, lihat cara mengamankan situs web dan basis data online Anda dari peretas.

Bagaimana dan Mengapa Kami Menemukan Pelanggaran

Kami menemukan data ini bocor sebagai bagian dari skala besar kami proyek pemetaan web. Ran dan Noam memindai port mencari blok IP yang dikenal. Setelah mereka menemukan blok ini, mereka dapat menggunakannya untuk mencari lubang dalam sistem situs web.

Ketika mereka menemukan data yang bocor, mereka menggunakan beberapa teknik ahli untuk verifikasi identitas basis data. Kita kemudian beri tahu perusahaan akan adanya pelanggaran. Jika memungkinkan, kami juga akan memberi tahu mereka yang terkena dampak pelanggaran. Tujuan dari proyek ini adalah untuk membantu membuat internet lebih aman untuk semua pengguna.

Tentang Kami dan Laporan Sebelumnya

vpnMentor adalah situs web tinjauan VPN terbesar di dunia. Laboratorium penelitian kami adalah layanan pro bono yang berusaha keras bantu komunitas online mempertahankan diri terhadap ancaman dunia maya sembari mengedukasi organisasi tentang melindungi data pengguna mereka.

Kami baru-baru ini menemukan pelanggaran data besar yang berdampak pada 80 juta rumah tangga AS. Kami juga mengungkapkan bahwa Gearbest mengalami pelanggaran data besar-besaran. Anda mungkin juga ingin membaca Laporan Kebocoran VPN dan Laporan Statistik Privasi Data kami.

Silahkan bagikan laporan ini di Facebook atau tweet itu.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me