پس از گزارش قبلی ما در مورد نشت بانک اطلاعاتی از وب سایت های پزشکی در سراسر جهان ، تیم امنیتی WizCase با جدیت تحقیقات خود را ادامه دادند. آنها 3 پایگاه داده پزشکی نا امن اضافی با اطلاعات محرمانه ، از جمله نام کامل ، شماره گذرنامه ، تاریخ تولد ، آدرس و شماره تلفن کشف کردند.
این پایگاه داده ها در چارچوب انجام تحقیقات برای کمک به شرکت ها در تهیه داده های خود یافت شدند. آنها بدون رمزنگاری باقیمانده بودند و برای دسترسی به اطلاعات حساس در داخل ، نیازی به رمز عبور ندارند.
هر شرکتی و ارائه دهنده هاستینگ آنها با یافته های تیم امنیتی تماس گرفته شده اند. هدف ما این است که آنها را از نشتهایی آگاه کنیم تا بتوانند سرورهای در معرض را محافظت کنند و از اطلاعات خصوصی بیماران خود محافظت کنند.
آخرین موارد نقض شده (ژانویه 2020)
چه اتفاقی در صنعت پزشکی افتاده است؟
شما به شرکت ها اعتماد دارید. در صنعت بهداشت ، اطلاعات شخصی خود را کاملاً ایمن نگه دارید . اما با پیشرفت سریع فناوری ، اقدامات امنیتی روز به روز سخت می گیرند. این نگرانی است زیرا پرونده پزشکی شما حاوی برخی از اطلاعات شخصی شما است.
به دنبال مقاله اولیه ما ، تیم امنیتی وب ما در WizCase چندین اکتشاف نگران کننده دیگر ایجاد کرد. 3 بانک اطلاعاتی پزشکی نا امن از شرکتهای هند ، سنگاپور و آرژانتین یافت شد.
برخی از اطلاعات شخصی که پیدا کردیم شامل موارد زیر است:
- بیمار - نام کامل ، آدرس ، شماره تلفن ، تاریخ تولد ، آدرس ایمیل ، شناسنامه و شماره گذرنامه.
- اطلاعات در مورد پزشکان و اطلاعات محرمانه شرکت
- اسکن نسخه های داده شده به بیماران
- اطلاعات پزشکی - اطلاعات در مورد قرار ملاقات ها ، جراحی های احتمالی ، آزمایش های آزمایشگاهی ، وضعیت پزشکی بیمار و موارد دیگر.
چه اطلاعات پزشکی فاش شد؟
تیم ما 3 سرور نا امن دیگر پیدا کرد که تعداد آنها به 12.
3 نشت این گزارش در آرژانتین ، هند و سنگاپور یافت شد.
می توانید اطلاعات بیشتری در مورد نشت داده های قبلی در گزارش جامع ما بخوانید.
1. HX Wellness Private Limited (برنامه Aermed) - داروخانه آنلاین
- کشور : هند
- اندازه بانک اطلاعاتی : 4 GB
- رکورد های در معرض : 230،000 ~
- Data Whaked ] بیماران و پزشکان
- نوع سرور : سرور MongoDB و سطل Amazon AWS S3
HX Wellness Private Limited یک شرکت نوپا در هند است که به کاربران خود اجازه می دهد طیف وسیعی از داروها و آزمایشگاه های آزمایشگاهی را از طریق برنامه Aermed خود سفارش دهند. به نظر می رسد که این شرکت فقط به بیماران مستقر در هند خدمت می کند.
سرور در معرض دید در میزبان سنگاپور بود. اطلاعات فاش شده شامل مشخصات حساس بيمار از جمله نام كامل ، سن ، مكان ، پست الكترونيك ، جنس ، سوابق پزشكي ، اطلاعات سفارش و اطلاعات نسخه است. اسکنهای پزشکی بیماران نیز می توانند بدون تأیید صحت از سطل در معرض آمازون قابل دسترسی باشند. همچنین می توان اسامی کامل ، ایمیل و شماره تلفن پزشکان را در ارتباط با اطلاعات بیمار یافت.
2. Mobile Health Pte (بهداشت موبایل MaNaDr) - برنامه مشاوره پزشكی
- كشور : سنگاپور
- اندازه بانک اطلاعاتی : 578 MB
- رکورد های در معرض : 842،000
- : بیماران
- نوع سرور : سرور ElasticSearch
اطلاعات سانسور شده بیمار از نشت MaNaDr
Mobile Health Pte یک شرکت مستقر در سنگاپور است که صاحب MaNaDr - یک برنامه مراقبت های بهداشتی است که به بیماران اجازه می دهد. با پزشکان مشورت کنید ، قرار ملاقات با کتاب و ویزیت در منزل انجام دهید و نتایج تست را مستقیماً در تلفنهای هوشمند خود دریافت کنید. به نظر می رسد بیماران بیشتر در سنگاپور هستند ، اما این برنامه در استرالیا نیز استفاده می شود.
سرور نا امن در ایالات متحده میزبان بود. داده های به بیرون درز شده شامل داده های محرمانه بیمار ، مانند نام کامل ، آدرس ، NRIC (شماره شناسه سنگاپور) ، شماره تلفن ها و تاریخ تولد است. اطلاعات مربوط به قرار ملاقات ها ، از جمله [شماره شناسه بیمار] ، و اطلاعات پزشکی مانند نتایج آزمایشگاه یافت شد. نام پزشکان ، کلینیک ها و جزئیات آزمایشگاه نیز یافت شد.
در مکاتبات ما با MaNaDr ، فهمیدیم که آنها نشتی را بسته اند. آنها به ما گفتند كه داده های در معرض داده های واقعی بیمار نیستند ، اما داده های آزمایش مورد استفاده برای اهداف نمایشی است. با این حال ، ما نتوانسته ایم این ادعا را تأیید کنیم. ما همیشه سوابق را هنگام بررسی پایگاه داده های به بیرون به طور تصادفی بررسی می کنیم - برخی پرونده ها را پیدا می کنیم که به نظر می رسد داده های بیمار قانونی است.
3. موسسه زالدیوار - مرکز درمان چشم پزشکی
- کشور: آرژانتین
- اندازه بانک اطلاعاتی: 72 MB
- رکورد های در معرض: 8،600 [
- اطلاعاتی که از آنها بیرون می رود: بیماران
- نوع سرور: سرور ElasticSearch
داده های ویرایش یافت در سرور Zaldivar نا امن
موسسه Zaldivar یک مرکز چشم پزشکی در آرژانتین با بیش از 60 سال تجربه انجام جراحی های چشم نوآورانه و درمان است. به نظر می رسد این مؤسسه با بیماران محلی عمدتاً معالجه می کند - با شناخت جهانی ، احتمالاً این بیماران نیز از کشورهای دیگر هستند.
این دو سرور در معرض میزبانی در ایالات متحده بودند که اطلاعات کم و بیش یکسان دارند. اطلاعات موجود در سرورها دارای اطلاعات محرمانه از جمله نام های کامل ، شناسنامه و شماره گذرنامه های آرژانتینی ، ایمیل ، شماره تلفن ، مشخصات عمومی حرفه ها ، تاریخ تولد ، تابعیت و آدرس های بود. هزاران مدخل پزشکی با اطلاعات مربوط به قرار ملاقات ها و جراحی های احتمالی نیز یافت شد.
نشت اطلاعات پزشکی: پیامدهای چیست؟
نشت اطلاعات پزشکی نه تنها اطلاعات محرمانه شما را در تهاجم بزرگی از حریم خصوصی قرار می دهد - آنها همچنین آن را نشان می دهند. ممکن است هکرها و کلاهبرداران بتوانند اطلاعات شما را بدست آورند.
سرقت هویت
این با یک بانک اطلاعاتی که سوابق کامل PII (اطلاعات شخصی شناسایی شده) را دارند ، یک خطر بزرگ است. اگر یک کلاهبردار شماره شناسنامه دولتی (مانند SSN) ، نام کامل ، آدرس و تاریخ تولد خود را بدست آورد ، سرقت از هویت شما برای آنها آسان است.
کلاهبرداری فیشینگ و تلفن
این کلاهبرداری ها به اعتماد به نفس ظاهر شده اند و اعتقاد شما به اطلاعات شما امن است. هنگامی که یک کلاهبردار اطلاعات تماس شما را به دست آورد ، می تواند از PII به بیرون درز شما استفاده کند تا شما را متقاعد کند که روی یک لینک مشکوک کلیک کنید یا حتی اطلاعات بیشتری را از طریق تلفن امتحان کنید.
کلاهبرداران ماهر عمداً افراد آسیب پذیر را هدف قرار می دهند - کسانی که معتقد به یک معتبر هستند. - مشروط شدن از طریق ایمیل یا تماس تلفنی از کسی که اطلاعاتی در مورد وضعیت خود ، کلینیک مورد نظر در وی یا درمانی که دریافت می کند ، دریافت می کند.
باج خواهی
بیمارانی که می خواهند داروهای خود و یا درمان خود را مخفی نگه دارند ، می توانند در نتیجه داده ها باج خواهی شوند. نشت کلاهبرداران می دانند که افشای اطلاعات خاص می تواند امنیت مالی و یا حتی زندگی خانوادگی آنها را برای بیمار به همراه داشته باشد.
کلاهبرداری
کلاهبرداران می توانند از اطلاعاتی مانند اسکنهای بدون نسخه نسخه ها استفاده کنند و آنها را برای مقاصد کلاهبرداری تولید کنند. آنها همچنین می توانند از جزئیات PII که از نشت گرفته شده اند استفاده کنند تا وانمود کنند که بیمار هستند و مرتکب کلاهبرداری می شوند.
این به چه معنی است برای قربانیان نشت اطلاعات؟ موارد بیشتر:
HX Wellness Private Limited - باج گیری
مشاهدات پزشکی مانند اسکن و نتایج آزمایشگاه و جزئیات نسخه از سرور در معرض می تواند برای باج گیری بیماران استفاده شود - تعداد سوابق منتشر شده به کلاهبردار استخر بزرگی از قربانیان بالقوه.
تلفن همراه بهداشت تلفن - کلاهبرداری تلفنی
تعداد زیادی از بیماران شماره تلفن های خود را فاش کردند. شناسه بیمار نیز به همراه اطلاعاتی در مورد درمانها و نتایج آزمایش به بیرون در آمد. شناسه های بیمار را می توان با افراد مرتبط و داده های مورد استفاده برای برقراری اعتماد به تلفن ، ترغیب بیماران آسیب پذیر به تحویل اطلاعات بیشتر.
مؤسسه زالدیوار - کلاهبرداری و سرقت هویت
اطلاعات فاش شده شامل شماره شناسایی شخصی (DNI - شناسه و شماره گذرنامه های آرژانتین) و نام های کامل ، این قربانیان را به دلیل سرقت هویت و استفاده جعلی از آنها به عنوان اهداف اصلی تبدیل می کند.
2 راه دیگر برای حفظ امنیت اطلاعات شخصی شما
HX Wellness Private Limited - باج گیری
مشاهدات پزشکی مانند اسکن و نتایج آزمایشگاه و جزئیات نسخه از سرور در معرض می تواند برای باج گیری بیماران استفاده شود - تعداد سوابق منتشر شده به کلاهبردار استخر بزرگی از قربانیان بالقوه.
تلفن همراه بهداشت تلفن - کلاهبرداری تلفنی
تعداد زیادی از بیماران شماره تلفن های خود را فاش کردند. شناسه بیمار نیز به همراه اطلاعاتی در مورد درمانها و نتایج آزمایش به بیرون در آمد. شناسه های بیمار را می توان با افراد مرتبط و داده های مورد استفاده برای برقراری اعتماد به تلفن ، ترغیب بیماران آسیب پذیر به تحویل اطلاعات بیشتر.
مؤسسه زالدیوار - کلاهبرداری و سرقت هویت
اطلاعات فاش شده شامل شماره شناسایی شخصی (DNI - شناسه و شماره گذرنامه های آرژانتین) و نام های کامل ، این قربانیان را به دلیل سرقت هویت و استفاده جعلی از آنها به عنوان اهداف اصلی تبدیل می کند.
تضمین اینکه اطلاعات شما همیشه خواهد بود دشوار است. ایمن نگه داشته شود ، به خصوص اگر با شرکت های شخص ثالث به اشتراک گذاشته شود. مهم است که هوشیار با نظارت مداوم بر حساب های آنلاین خود باشید. 2 توصیه زیر را و همچنین توصیه های گزارش قبلی ما برای حفظ امنیت شخصی اطلاعات شخصی خود دنبال کنید.
1. رمزگذاری داده های خود به صورت آنلاین
وقتی اطلاعات حساس را در یک وب سایت یا برنامه به اشتراک می گذارید ، اطمینان حاصل کنید که اتصال رمزگذاری شده و ایمن است. آدرس اینترنتی وب سایت را برای "HTTPS" بررسی کنید زیرا این امر اطمینان حاصل می کند که ارتباط آنلاین شما رمزگذاری شده و یکپارچگی سایت را تضمین می کند. همچنین می توانید از VPN برای رمزگذاری تمام ترافیک اینترنت خود استفاده کنید - استفاده از هردو با هم دسترسی شخص ثالث یا هکرها دسترسی به اطلاعات شخصی شما را در حالی که در حال گذر است بسیار دشوار می کند.
2. اطلاعاتی را که در رسانه های اجتماعی به اشتراک می گذارید محدود کنید
اگر تخلف رخ دهد و کلاهبرداری اطلاعات شما را در دست داشته باشد ، فرصتی وجود دارد که آنها بتوانند از آن استفاده کنند تا بتوانند شما را از طریق حساب های رسانه اجتماعی خود پیدا کنند. حساب های خود را خصوصی نگه دارید ، فقط افرادی را که می شناسید اضافه کنید و از این امر غافل نشوید.
چه کسی WizCase است؟
WizCase در خط مقدم صنعت امنیت سایبر است. تیم امنیتی وب اختصاصی ما به سختی کار می کند تا در صورت مشاهده نشت ، شرکت مطلع شود تا آنها بتوانند نقض را تضمین کرده و داده های کاربر را ایمن نگه دارند.
امنیت داده ها همیشه کار آسانی نیست زیرا شرکت های درگیر تمایل دارند. از هشدارهای ما صرفنظر کنید در حالی که ما در حال کار بر روی این تحقیق بودیم ، به Dissent Doe رسیدیم که به اطمینان حاصل شد که داده ها از امنیت برخوردار هستند.
از نقض در صنعت میهمان نوازی گرفته تا برنامه های دوستیابی و قرار گرفتن در وب های آسیب پذیر ، تیم تحقیق ما این خبر را به اطلاع مردم می رساند. بنابراین همه ما می توانیم از یک زندگی دیجیتالی ایمن تر لذت ببریم.
فیلترشکن پرسرعت
