與其他行業(yè)不同的是，醫(yī)療行業(yè)一旦受到惡意的網(wǎng)絡(luò)攻擊，付出將是生命代價(jià)，而日漸猖獗的安全事故，也讓我們看到攻擊者對(duì)醫(yī)療行業(yè)的覬覦之心。

近日獲悉，一家健康科技公司在安全證書失效導(dǎo)致服務(wù)器沒(méi)有密碼后，每天都在泄漏數(shù)千張醫(yī)生藥方、醫(yī)療記錄和處方，而這家公司就是來(lái)自加利福尼亞州的Meditab，其為醫(yī)療保健提供商處理電子傳真，仍是將患者文件共享給其他提供商和藥房的主要方法。

發(fā)現(xiàn)此次數(shù)據(jù)泄露的SpiderSilk安全公司表示，該傳真服務(wù)器沒(méi)有得到妥善保護(hù)，且由于服務(wù)器沒(méi)有密碼，任何人都可以實(shí)時(shí)讀取傳輸?shù)膫髡妫�包括其�?nèi)容。自2018年3月創(chuàng)建以來(lái)，公開(kāi)的傳真服務(wù)器運(yùn)行的Elasticsearch數(shù)據(jù)庫(kù)擁有超過(guò)600萬(wàn)條記錄。

據(jù)悉，傳真包含了大量的個(gè)人身份信息和健康信息，包括醫(yī)療記錄、醫(yī)生藥方、處方數(shù)量以及疾病信息等。不僅如此，傳真還包括了患者的姓名、地址以及出生日期，有些甚至還包括了社會(huì)安全號(hào)碼、健康保險(xiǎn)信息、支付數(shù)據(jù)和與兒童有關(guān)的個(gè)人數(shù)據(jù)和健康信息。

據(jù)了解，該服務(wù)器托管于MedPharm Services的子域，而MedPharm Services是總部位于波多黎各的Meditab的一家分支機(jī)構(gòu)，由Kalpesh Patel創(chuàng)立。MedPharm作為一家獨(dú)立的公司在圣胡安被分拆出來(lái)，以便為那些在島上開(kāi)展業(yè)務(wù)的人提供減稅優(yōu)惠。

對(duì)于此次事件，Patel表示關(guān)于安全證書失效問(wèn)題，公司總法律顧問(wèn)Angel Marrero在一封電子郵件中稱：公司正在“調(diào)查問(wèn)題以確定問(wèn)題和解決方案，我們?nèi)栽趯彶槲覀兊娜罩竞陀涗洠�以查看任何潛在風(fēng)險(xiǎn)的范圍”。

要知道，如今各國(guó)政府或組織都非常關(guān)注用戶信息保護(hù)問(wèn)題，對(duì)于泄露數(shù)據(jù)或違法的公司或?qū)⒚媾R巨額罰款。對(duì)此，Meditab和MedPharm均聲稱符合HIPAA，也就是《美國(guó)健康保險(xiǎn)流通與責(zé)任法案》，該法案管理醫(yī)療服務(wù)提供者如何正確管理患者的數(shù)據(jù)安全。

特別是在過(guò)去一年，可謂是罰款“創(chuàng)紀(jì)錄”的一年，幾次暴露和違規(guī)行為約為2500萬(wàn)美元，其中包括對(duì)德克薩斯大學(xué)無(wú)意中披露加密個(gè)人健康數(shù)據(jù)的430萬(wàn)美元罰款，費(fèi)森尤斯的解決方案為350萬(wàn)美元，五個(gè)不同的違規(guī)行為。