成千上万的医疗记录在两次数据泄露中被曝光

数十万份医疗记录，包括那些在战斗中受伤的美国军的记录，被发现暴露在两个单独的数据泄露中，一个与医疗处理公司有关，另一个与社交媒体公司有关。

这两个数据破坏都是由来自vpnMentor的安全研究人员Noam Rotem和RanLocar发现的，涉及到位于暴露于所有和杂物的服务器上的私有数据。

在本周早些时候描述的第一个病例中，在一个不安全的MongoDB数据库中发现了大约78,000名使用Vascepa药物的患者的个人数据。 暴露的数据包括病人的姓名、地址、电话号码、电子邮件地址、处方医生、他们的NPI号码和药房信息。

目前还不完全清楚谁拥有数据库。 研究人员在数据中找到了两家公司的识别代码：电子邮件营销平台提供商Constant联系人和PSKW，这是一个名为ConntectiveRX的电子处方程序的合法名称。

研究人员写道：“鉴于数据中标签的一致性，我们怀疑数据库可能属于Connective RX。 “然而，我们只找到了有关Vascepa处方的数据，这使得泄漏的来源不太清楚。

在讨论Vascepa数据库时，欺诈预防技术公司ArkoseLabsInc.的首席执行官凯文·戈斯卡尔(Kevin Gosschalk)对硅谷说，继Quest诊断和实验室公司之后，这是过去三周来第三次高调的医疗违约。

Gosschalk说：“处理医疗记录的公司是网络罪犯的主要目标，必须采取一切必要的预防措施来保护所有的攻击表面。 “在当今的威胁环境中，公司无法承受这种性质的安全严重失效。 必须在任何时候都采取积极主动的安全措施，以保护攻击面和保护敏感数据。

在这两次数据泄露中，第二次和更大的一次涉及约15万份个人记录和属于Face book公司营销机构xSocial MediaInc.服务器上的其他数据，该公司专门开展医疗事故诉讼活动。

暴露的数据似乎是从Face book广告的回复中收集的，包括姓名、电子邮件地址、街道地址、电话号码和有关该人受伤的详细信息。 除了个人信息外，服务器还包括发票、客户数据和伤害-check.com广告活动的确切数字，这是x社交媒体用来收集数据的网站。

这些数据包括退伍军的信息，他们描述了受伤情况，包括创伤后应激障碍和其他不应该暴露的亲密医疗细节。 vpnMentor研究人员立即联系了x社交媒体关于数据泄露的消息，但公司花了九天时间才将数据离线。

在这一阶段，没有证据表明任何一种情况下的数据都是恶意者访问的，但也没有证据证明数据也没有被访问。

网络安全公司ImpervaInc.高级副总裁兼研究员特里？雷(Terry Ray)表示：“当这样一系列信息被包装起来时，就像是一个礼物，等待坏的行为者来抓住它。

他说，在这些情况下，“由于数据库存储的是个人信息之外的医疗信息，应该采取更多的谨慎措施。”他补充说，未能对这些病人数据进行加密可能违反了《健康保险可携性和问责法》或《健康保险责任法》，责任人可能面临巨额罚款。