Тысячи медицинских записей обнародованы в сети, включая конфиденциальную информацию пациентов

Исследователь безопасности обнаружил огромную базу данных, не защищенную паролем, в открытом доступе. В ней содержалась персонально идентифицируемая информация, а также медицинские данные. Позже база данных была заблокирована.

ESHYFT, технологическая платформа, предназначенная для медсестер по всей территории США, предположительно хранила незащищенную базу данных в Интернете, подвергая риску тысячи конфиденциальных записей для всех, кто знал, где искать. Исследователь безопасности Джерамия Фоулер обнаружил базу данных, которая содержала 86 341 запись и превышала 100 ГБ по размеру. Архив содержал всевозможные конфиденциальные данные, от имен и ID до медицинских отчетов и многое другое.

ESHYFT - это технологическая платформа, которая соединяет медсестер (ассистентов по уходу за больными, лицензированных практических медсестер и дипломированных медсестер) с рабочими сменами на дому престарелых по всей территории США, предлагая гибкие возможности работы для медицинских работников и надежное решение по найму персонала для учреждений.

Решение проблемы

Неизвестно, как долго база данных оставалась незащищенной, или имели ли доступ к ней злоумышленники до того, как это сделал Фоулер. Также неизвестно, поддерживает ли ESHYFT базу данных самостоятельно или передала ее на аутсорсинг третьей стороне.

«При ограниченном изучении открытых документов я видел записи, которые включали профильные или лицевые изображения пользователей, файлы .csv с журналами ежемесячных графиков работ, профессиональные сертификаты, соглашения о назначении на работу, резюме и биографии, содержащие дополнительную информацию о личности», - объяснил Фоулер, отметив, что он сообщил об этом как в Website Planet, так и позже - ESHYFT.

«Один единственный документ таблицы содержал более 800 000 записей, которые подробно описывали внутренние ID медсестры, название учреждения, время и дату смен, отработанные часы и многое другое».

«Я также видел то, что, по-видимому, были медицинские документы, загруженные в приложение. Эти файлы, возможно, были загружены как доказательство того, почему отдельные медсестры пропускали смены или брали больничный. В эти медицинские документы включались медицинские отчеты, содержащие информацию о диагнозе, рецептах или лечении, которые потенциально могли подпадать под действие правил HIPAA».

После того как Фоулер сообщил о своих выводах ESHYFT, фирма заблокировала базу данных через месяц, сообщив ему, что она «активно занимается этим вопросом и работает над решением».