震惊!亚马逊服务器泄露47GB医疗数据,15万病人信息面临曝光专栏
据外媒 SlashGear 报道,北京时间10月11日上午消息,据安全研究机构Kromtech Security Researchers披露,一家医疗服务机构存储在亚马逊S3上的大约47GB医疗数据意外对公众开放,其中包含315363份PDF文件。
Kromtech Security Researchers估计,这些文件至少涉及15万病人,泄露的内容包括验血结果以及姓名和家庭住址等个人信息,另外还有医生和他们的病例管理笔记等内容。
此次泄露的PDF文件中有很大一部分是每周都要接受检查的病人。Kromtech表示,这些数据都与一家名叫Patient Home Monitoring的公司有关,他们会定期代表医生前往需要持续监测的病人家中验血。
研究人员指出,该公司的网站上有一个专门的隐私页面,向客户承诺他们“有权知道谁能获取他们的机密健康信息,以及获取这些信息的目的。”很显然,此次数据曝光是一场严重的隐私泄密事件,而且违反了HIPPA法案。按照规定,他们需要将此事通知受影响的病人。
Kromtech解释称,他们在9月29日发现此事,并在10月5日将此事通知该公司。研究人员称,该数据库在10月6日对公众关闭,但该公司并未作出额外回应。
这也是最近发生的又一起网络隐私信息泄密案。例如,最近有一家在线翻译服务将翻译后的文本放到网上,导致所有人都可以查看其中的敏感信息。
网络安全公司HEIMDAL发布《2016年中回顾:2016年网络安全威胁分析报告》,总结了2015年4月到2016年3月全球范围内的网络安全事件。其中,医疗行业是勒索软件在世界范围内投入最多的行业,占第二季度勒索软件统计总量的88%。
Trustwave发布了一份2015年医疗行业的安全报告,通过对398名专业的医疗专业人员(部分是技术人员,包括CIO、CISO、IT主管等,另一部分是普通的医护人员)的调查,发现有91%的调查对象认为针对医疗行业的网络攻击活动越来越多,然而用在保护病人敏感信息方面的预算却还不到10%。
以下为美国2016年至今在医疗行业中发生的最严重的10大信息泄露事件:
1. Aesthetic Dentistry and OC Gastrocare牙科病历泄露事件
根据DataBreaches.net网站5月4号的报道,暗网黑客组织TheDarkOvrlord(下简称“TDO”)通过三次非法侵入,盗取并公布了18万份患者病历,其中包括3400余份纽约地区牙科美容诊所Aesthetic Dentistry的病历,3.41万份加州的牙科护理诊所OC Gastrocare的病历,以及14.2万分佛罗里达州坦帕湾地区Tampa Bay Surgery Center病历。TDO通过推特账号公布了可供任何人下载病人资料库的网页链接。
2. Children health records 儿童病历泄露事件
根据黑客Skyscraper4月26日向DataBreaches.net透露,在暗网上有超过50万份儿童病历可供人下载。这些病历包含了儿童及其父母的姓名、社会保险号、电话号码以及住址。DataBreaches.net网站并未点名被黑客攻击的机构名称,但提到另有数所小学系统被黑客攻击,超过20万份学生档案被泄露。而卫生部民权办公室接到儿科医生上报被盗的病历数量与所报道数量并不一致。这意味着许多医务人员还未觉察病历信息已被泄露。
原文地址:http://www.healthcareitnews.com/news/hacker-patient-data-500000-children-stolen-pediatricians
3. Lifespan莱仕邦泄露事件
罗德岛州普罗维登斯规模最大的医疗网络公司莱仕邦发布公告,2月25日,一名公司员工车辆遭盗窃,手提电脑被盗,电脑中超过2万份病历敏感信息可能会遭泄露。此员工事后立即通知了相关法律部门和莱仕邦公司管理人员。公司立刻更改了该名员工进入莱仕邦信息系统的权限。
原文地址:http://www.healthcareitnews.com/news/stolen-laptop-leads-breach-notification-20000-lifespan-patients
4. HealthNow Networks泄露事件
通过ZDNet和DataBreaches.net网站的共同调查发现,几个月前,一位HealthNow Networks的软件开发员在互联网上上传了资料库备份后,超过91.8万份老年人的个人健康数据被泄露。Health Now Networks是一家佛罗里达州的电话营销公司,其业务主要是向需要糖尿病医疗器械的老年人推销医疗用品。但Health Now Networks在2015年未向当地有关部门上报当年度报告,该业务已经不再列为合法注册经营业务。上文提及的软件开发员受委托为HealthNow Networks开发客户数据库,但他表示“工作量实在太大”。
原文地址:http://www.healthcareitnews.com/news/nearly-1-million-patient-records-leaked-after-telemarketer-blunder
5. ABCD Children’s Pediatrics 小儿科泄露事件
位于圣安通尼奥的ABCD小儿科诊所在遭到勒索软件攻击后,超过5.5万明患者信息可能遭到泄露。泄露资料中可能包括病人姓名、社会保险号、保险账单信息、出生日期、病历信息、化验结果、手术信息编码、个人基本信息等。据调查,勒索软件名为Dharma,是勒索软件Crisis的变体。根据诊所官方回应,尽管该病毒软件通常不会泄露系统数据,但诊所无法完全排除这种可能性。
原文地址:http://www.healthcareitnews.com/news/ransomware-attack-texas-pediatric-provider-exposes-data-55000-patients
6. Washington University School of Medicine华盛顿大学医学院泄露事件
一位华盛顿大学医学院员工于12月2日遭到钓鱼攻击,8万余份病历可能遭到泄露。而医学院表示,官方是在攻击七周后,即1月24日才获悉此信息。据此员工回应,当时他回复了伪装成合法请求的钓鱼邮件,导致未经授权的黑客获取入侵其邮箱账户的权限。这些邮箱账户中包含了相关患者信息。
原文地址:http://www.healthcareitnews.com/news/phishing-attack-risks-leak-80000-patient-records
7. Metropolitan Urology Group大都会泌尿集团泄漏事件
西雅图大都会泌尿集团在11月遭到勒索软件攻击,约1.7万余名患者个人信息可能遭泄露。美国卫生部民权办公室称,集团的两个服务器遭受病毒攻击,可能泄露了2003年至2010年的患者数据,包括患者姓名、患者账号、医疗机构识别码、手术信息编码、医疗服务数据等。其中有5%的患者社保号码被泄露。
原文地址:http://www.healthcareitnews.com/news/ransomware-attack-exposes-data-nearly-18000-metropolitan-urology-patients
8. Denton Heart Group心脏医疗集团泄漏事件
作为HealthTexas医疗网络一员,Denton心脏医疗集团备份了7年电子病历数据的未加密硬盘被盗。其备份信息包括从2009年到2016年间患者的姓名、出生日期、家庭住址、电话号码、驾照号码、保险政策、医生姓名、诊所账号、病历信息、用药信息、检验结果和其他相关临床数据。
原文地址:http://www.healthcareitnews.com/news/unencrypted-drive-7-years-patient-data-stolen-denton-heart-group
9. Brand New Day医疗保险泄露事件
由美国联邦医疗保险认可的Brand New Day医疗保险在3月通知了1.4万名被保人其医疗信息可能会遭泄露。因为保险公司的加密电子医疗信息(ePHI)遭到非授权人员通过第三方厂商系统入侵。12月28日,保险公司发现一名未经授权的用户访问了公司提供给其HIPPA商业伙伴的加密电子医疗信息。公司官方称,该未授权用户是通过承包商使用的厂商系统访问了相关信息。
原文地址:http://www.healthcareitnews.com/news/vendor-error-exposes-data-more-14000-health-plan-participants
10. Singh and Arora Oncology Hematology血液肿瘤中心泄露事件
2016年8月,密歇根Singh and Arora血液肿瘤中心遭到黑客攻击。该中心随后在2月通知了2.2万名患者,其信息可能会遭到泄露。根据当地ABC12电台报道,黑客入侵了包含2016年2-7月数据的服务器,可能遭泄露的数据包括患者姓名、社保号、家庭住址、电话号码、出生日期、CPT代码和保险信息等。
原文地址:http://www.healthcareitnews.com/news/michigan-cancer-center-notifies-22000-patients-breach-5-months-after-hack
参考内容:
《盘点2017美国重大医疗信息泄露事件》—— HIMSS
《亚马逊服务器泄露47GB医疗数据 15万病人信息曝光》——新浪科技
1.砍柴网遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.砍柴网的原创文章,请转载时务必注明文章作者和"来源:砍柴网",不尊重原创的行为砍柴网或将追究责任;3.作者投稿可能会经砍柴网编辑修改或补充。