震驚!亞馬遜服務器泄露47GB醫療數據,15萬病人信息面臨曝光專欄
據外媒 SlashGear 報道,北京時間10月11日上午消息,據安全研究機構Kromtech Security Researchers披露,一家醫療服務機構存儲在亞馬遜S3上的大約47GB醫療數據意外對公眾開放,其中包含315363份PDF文件。
Kromtech Security Researchers估計,這些文件至少涉及15萬病人,泄露的內容包括驗血結果以及姓名和家庭住址等個人信息,另外還有醫生和他們的病例管理筆記等內容。
此次泄露的PDF文件中有很大一部分是每周都要接受檢查的病人。Kromtech表示,這些數據都與一家名叫Patient Home Monitoring的公司有關,他們會定期代表醫生前往需要持續監測的病人家中驗血。
研究人員指出,該公司的網站上有一個專門的隱私頁面,向客戶承諾他們“有權知道誰能獲取他們的機密健康信息,以及獲取這些信息的目的。”很顯然,此次數據曝光是一場嚴重的隱私泄密事件,而且違反了HIPPA法案。按照規定,他們需要將此事通知受影響的病人。
Kromtech解釋稱,他們在9月29日發現此事,并在10月5日將此事通知該公司。研究人員稱,該數據庫在10月6日對公眾關閉,但該公司并未作出額外回應。
這也是最近發生的又一起網絡隱私信息泄密案。例如,最近有一家在線翻譯服務將翻譯后的文本放到網上,導致所有人都可以查看其中的敏感信息。
網絡安全公司HEIMDAL發布《2016年中回顧:2016年網絡安全威脅分析報告》,總結了2015年4月到2016年3月全球范圍內的網絡安全事件。其中,醫療行業是勒索軟件在世界范圍內投入最多的行業,占第二季度勒索軟件統計總量的88%。
Trustwave發布了一份2015年醫療行業的安全報告,通過對398名專業的醫療專業人員(部分是技術人員,包括CIO、CISO、IT主管等,另一部分是普通的醫護人員)的調查,發現有91%的調查對象認為針對醫療行業的網絡攻擊活動越來越多,然而用在保護病人敏感信息方面的預算卻還不到10%。
以下為美國2016年至今在醫療行業中發生的最嚴重的10大信息泄露事件:
1. Aesthetic Dentistry and OC Gastrocare牙科病歷泄露事件
根據DataBreaches.net網站5月4號的報道,暗網黑客組織TheDarkOvrlord(下簡稱“TDO”)通過三次非法侵入,盜取并公布了18萬份患者病歷,其中包括3400余份紐約地區牙科美容診所Aesthetic Dentistry的病歷,3.41萬份加州的牙科護理診所OC Gastrocare的病歷,以及14.2萬分佛羅里達州坦帕灣地區Tampa Bay Surgery Center病歷。TDO通過推特賬號公布了可供任何人下載病人資料庫的網頁鏈接。
2. Children health records 兒童病歷泄露事件
根據黑客Skyscraper4月26日向DataBreaches.net透露,在暗網上有超過50萬份兒童病歷可供人下載。這些病歷包含了兒童及其父母的姓名、社會保險號、電話號碼以及住址。DataBreaches.net網站并未點名被黑客攻擊的機構名稱,但提到另有數所小學系統被黑客攻擊,超過20萬份學生檔案被泄露。而衛生部民權辦公室接到兒科醫生上報被盜的病歷數量與所報道數量并不一致。這意味著許多醫務人員還未覺察病歷信息已被泄露。
原文地址:http://www.healthcareitnews.com/news/hacker-patient-data-500000-children-stolen-pediatricians
3. Lifespan萊仕邦泄露事件
羅德島州普羅維登斯規模最大的醫療網絡公司萊仕邦發布公告,2月25日,一名公司員工車輛遭盜竊,手提電腦被盜,電腦中超過2萬份病歷敏感信息可能會遭泄露。此員工事后立即通知了相關法律部門和萊仕邦公司管理人員。公司立刻更改了該名員工進入萊仕邦信息系統的權限。
原文地址:http://www.healthcareitnews.com/news/stolen-laptop-leads-breach-notification-20000-lifespan-patients
4. HealthNow Networks泄露事件
通過ZDNet和DataBreaches.net網站的共同調查發現,幾個月前,一位HealthNow Networks的軟件開發員在互聯網上上傳了資料庫備份后,超過91.8萬份老年人的個人健康數據被泄露。Health Now Networks是一家佛羅里達州的電話營銷公司,其業務主要是向需要糖尿病醫療器械的老年人推銷醫療用品。但Health Now Networks在2015年未向當地有關部門上報當年度報告,該業務已經不再列為合法注冊經營業務。上文提及的軟件開發員受委托為HealthNow Networks開發客戶數據庫,但他表示“工作量實在太大”。
原文地址:http://www.healthcareitnews.com/news/nearly-1-million-patient-records-leaked-after-telemarketer-blunder
5. ABCD Children’s Pediatrics 小兒科泄露事件
位于圣安通尼奧的ABCD小兒科診所在遭到勒索軟件攻擊后,超過5.5萬明患者信息可能遭到泄露。泄露資料中可能包括病人姓名、社會保險號、保險賬單信息、出生日期、病歷信息、化驗結果、手術信息編碼、個人基本信息等。據調查,勒索軟件名為Dharma,是勒索軟件Crisis的變體。根據診所官方回應,盡管該病毒軟件通常不會泄露系統數據,但診所無法完全排除這種可能性。
原文地址:http://www.healthcareitnews.com/news/ransomware-attack-texas-pediatric-provider-exposes-data-55000-patients
6. Washington University School of Medicine華盛頓大學醫學院泄露事件
一位華盛頓大學醫學院員工于12月2日遭到釣魚攻擊,8萬余份病歷可能遭到泄露。而醫學院表示,官方是在攻擊七周后,即1月24日才獲悉此信息。據此員工回應,當時他回復了偽裝成合法請求的釣魚郵件,導致未經授權的黑客獲取入侵其郵箱賬戶的權限。這些郵箱賬戶中包含了相關患者信息。
原文地址:http://www.healthcareitnews.com/news/phishing-attack-risks-leak-80000-patient-records
7. Metropolitan Urology Group大都會泌尿集團泄漏事件
西雅圖大都會泌尿集團在11月遭到勒索軟件攻擊,約1.7萬余名患者個人信息可能遭泄露。美國衛生部民權辦公室稱,集團的兩個服務器遭受病毒攻擊,可能泄露了2003年至2010年的患者數據,包括患者姓名、患者賬號、醫療機構識別碼、手術信息編碼、醫療服務數據等。其中有5%的患者社保號碼被泄露。
原文地址:http://www.healthcareitnews.com/news/ransomware-attack-exposes-data-nearly-18000-metropolitan-urology-patients
8. Denton Heart Group心臟醫療集團泄漏事件
作為HealthTexas醫療網絡一員,Denton心臟醫療集團備份了7年電子病歷數據的未加密硬盤被盜。其備份信息包括從2009年到2016年間患者的姓名、出生日期、家庭住址、電話號碼、駕照號碼、保險政策、醫生姓名、診所賬號、病歷信息、用藥信息、檢驗結果和其他相關臨床數據。
原文地址:http://www.healthcareitnews.com/news/unencrypted-drive-7-years-patient-data-stolen-denton-heart-group
9. Brand New Day醫療保險泄露事件
由美國聯邦醫療保險認可的Brand New Day醫療保險在3月通知了1.4萬名被保人其醫療信息可能會遭泄露。因為保險公司的加密電子醫療信息(ePHI)遭到非授權人員通過第三方廠商系統入侵。12月28日,保險公司發現一名未經授權的用戶訪問了公司提供給其HIPPA商業伙伴的加密電子醫療信息。公司官方稱,該未授權用戶是通過承包商使用的廠商系統訪問了相關信息。
原文地址:http://www.healthcareitnews.com/news/vendor-error-exposes-data-more-14000-health-plan-participants
10. Singh and Arora Oncology Hematology血液腫瘤中心泄露事件
2016年8月,密歇根Singh and Arora血液腫瘤中心遭到黑客攻擊。該中心隨后在2月通知了2.2萬名患者,其信息可能會遭到泄露。根據當地ABC12電臺報道,黑客入侵了包含2016年2-7月數據的服務器,可能遭泄露的數據包括患者姓名、社保號、家庭住址、電話號碼、出生日期、CPT代碼和保險信息等。
原文地址:http://www.healthcareitnews.com/news/michigan-cancer-center-notifies-22000-patients-breach-5-months-after-hack
參考內容:
《盤點2017美國重大醫療信息泄露事件》—— HIMSS
《亞馬遜服務器泄露47GB醫療數據 15萬病人信息曝光》——新浪科技
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。