据外媒TechCrunch报道,一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄露数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要 *** 。
但据发现数据的安全公司称,该传真服务器没有得到妥善保护。总部位于迪拜的 *** 安全公司SpiderSilk告诉TechCrunch遭泄露的服务器。自2018年3月创建以来,公开的传真服务器运行的Elasticsearch拥有超过600万条记录。
由于服务器没有密码,任何人都可以实时读取传输的传真 – 包括其内容。
根据对数据的简要回顾,传真包含大量个人身份信息和健康信息,包括医疗记录、医生药方、处方数量和数量,以及疾病信息等。传真还包括姓名、地址、出生日期,在某些情况下还包括社会安全号码和健康保险信息以及支付数据。
传真还包括有关儿童的个人数据和健康信息。没有数据被加密。
在传真服务器上找到两份泄露的文件。(图片来源:TechCrunch)
该服务器托管于MedPharm Services的子域,MedPharm Services是总部位于波多黎各的Meditab的一家分支机构,由Kalpesh Patel创立。MedPharm 作为一家独立的公司在圣胡安被分拆出来,以便为那些在岛上开展业务的人提供减税优惠。
TechCrunch通过联系几位从传真中确认其详细信息的患者来验证记录。
Patel表示,关于安全证书失效问题,该公司正在“调查问题以确定问题和解决方案”。“我们仍在审查我们的日志和记录,以查看任何潜在风险的范围,”该公司总法律顾问Angel Marrero在一封电子邮件中说。
我们询问该公司是否计划通知监管机构和客户。Marrero表示,该公司“将遵守现行联邦和州法律法规规定的任何及所有必要通知(如适用)。”
Meditab和MedPharm都声称符合HIPAA,即《美国健康保险流通与责任法案》,该法案管理医疗服务提供者如何正确管理患者的数据安全。
泄露数据或违法的公司可能面临巨额罚款。
去年是“创纪录”罚款的一年 – 几次暴露和违规行为约为2500万美元,其中包括对德克萨斯大学无意中披露加密个人健康数据的430万美元罚款,费森尤斯的解决方案为350万美元。五个不同的违规行为。
美国卫生和公共服务部的发言人没有发表评论。
(稿源:,稿件以及封面源自 *** 。)
Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,...
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站...
为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News &...
Google的安全研究人员对NSO集团的一个零点击iMessage进行了深入研究,并揭示了该公司攻击的复杂性。Google Project Zero(零点项目)指出,ForcedEntry零点击漏洞–它已被用来针对活动家和记者–是“我们所见过的技术中最复杂的漏洞之一”。 另外,它还说明了NSO集团...
荷兰当局向一家DDoS网站的十多名客户发出了最后通牒,通知他们,如果继续网络攻击将被起诉。 荷兰警方的信件旨在减少网络犯罪,并引导罪犯采用合法手段来提高他们的技能。 周一,29名荷兰公民收到了警方的信件,并得知他们的犯罪活动已经被记录,未来的犯罪行为可能会被定罪。 “我们已经在我们的系统中标记了你...
在2019年9月至2021年4月期间,Palo Alto Network的Unit 42监测了防火墙流量和由URL过滤器检测到的钓鱼网站。当人们纷纷开始在家工作时,每周新的网络钓鱼页面的数量明显增加。 威胁者通过利用员工不受企业防火墙保护的远程工作环境,改进并加强了他们的网络钓鱼攻击。网络安全专家...
