Vrhunska zdravstvena tvrtka otkriva podatke o milijunima pacijenata – saznajte jeste li pogođeni

Otkriće Velike Baze Podataka bez Zaštite

U moru informacija koje se svakodnevno nalaze online, otkrivena je ogromna baza podataka koja sadrži milijune osjetljivih podataka, dostupnih svima koji znaju gdje tražiti. Ovaj slučaj otkrio je istraživač sigurnosti Jeremiah Fowler, poznat po tome što pronalazi pogrešno konfigurirane baze podataka i arhive koje nisu zaštićene lozinkama.

Što je otkriveno?

Fowler je nedavno pronašao bazu podataka koja sadrži više od 4,8 milijuna dokumenata, ukupne težine oko 2,2 terabajta. Istražujući datoteke unutar arhive, otkrio je razne informacije, uključujući:

• Očne preglede u .PDF formatu
• Osobne identifikacijske podatke pacijenata (PII)
• Komentare liječnika
• Slike rezultata pregleda

Pitanja vezana uz sigurnost podataka

Prema Fowlerovim riječima, baza podataka također je sadržavala .csv i .xls proračunske tablice koje su listale pacijente i uključivale njihove kućne adrese, Personal Health Numbers (PHN), kao i informacije o njihovom zdravlju. Osobni zdravstveni brojevi su jedinstveni identifikatori koje dodjeljuju provincijski ili teritorijalni zdravstveni sustavi u Kanadi za upravljanje pristupom uslugama javnog zdravstva. Ovi brojevi koriste se za praćenje medicinskih zapisa, obradu zahtjeva za osiguranje i provjeru prava na zdravstvene usluge.

Kako bi cyber kriminalci mogli iskoristiti ove informacije?

Cyber kriminalci bi mogli zloupotrijebiti PHN-ove za krađu identiteta, kao što su:

• Dobivanje neovlaštenih medicinskih usluga
• Podnošenje lažnih zahtjeva za osiguranje
• Kupovina lijekova na crnom tržištu

Osim toga, ovi brojevi mogu se prodavati na tamnom webu radi profita ili koristiti za izradu ciljanih phishing ili socijalno inženjerskih napada.

Tko stoji iza baze podataka?

Daljnjom istragom, Fowler je otkrio da baza pripada tvrtki Care1, kanadskoj kompaniji koja nudi AI softverska rješenja kako bi podržala optometristi u pružanju poboljšane zdravstvene zaštite pacijentima. Kako tvrdi tvrtka, njihov softver pomogao je u upravljanju s više od 150,000 posjeta pacijenata i koristi ga više od 170 optometrista.

Zaključak

Nakon što je otkrio vlasnika, Fowler je kontaktirao tvrtku, koja je ubrzo zaključala bazu podataka. Međutim, bez detaljne forenzičke analize, nemoguće je utvrditi je li bilo kakvi zlonamjerni akteri imali pristup arhivi u prošlosti. Ovaj incident naglašava važnost sigurnosti podataka i potrebu za pravilnom zaštitom osjetljivih informacija na internetu.