外媒:一家健康科技公司正在洩露大量醫療記錄和處方
據外媒TechCrunch報導,一家健康科技公司在安全證書失效導致服務器沒有密碼後,每天洩漏數千張醫生藥方、醫療記錄和處方。這家名不見經傳的軟件公司來自加利福尼亞州的Meditab,自稱是醫院、醫生辦公室和藥房領先的電子醫療記錄軟件製造商之一。該公司為醫療保健提供商處理電子傳真,仍然是將患者文件共享給其他提供商和藥房的主要方法。
但據發現數據的安全公司稱,該傳真服務器沒有得到妥善保護。總部位於迪拜的網絡安全公司SpiderSilk告訴TechCrunch遭洩露的服務器。自2018年3月創建以來,公開的傳真服務器運行的Elasticsearch 擁有超過600萬條記錄。
由於服務器沒有密碼,任何人都可以實時讀取傳輸的傳真- 包括其內容。
根據對數據的簡要回顧,傳真包含大量個人身份信息和健康信息,包括醫療記錄、醫生藥方、處方數量和數量,以及疾病信息等。傳真還包括姓名、地址、出生日期,在某些情況下還包括社會安全號碼和健康保險信息以及支付數據。
傳真還包括有關兒童的個人數據和健康信息。沒有數據被加密。
在傳真服務器上找到兩份洩露的文件。(圖片來源:TechCrunch)
該服務器託管於MedPharm Services的子域,MedPharm Services是總部位於波多黎各的Meditab的一家分支機構,由Kalpesh Patel創立。MedPharm 作為一家獨立的公司在聖胡安被分拆出來,以便為那些在島上開展業務的人提供減稅優惠。
TechCrunch通過聯繫幾位從傳真中確認其詳細信息的患者來驗證記錄。
Patel表示,關於安全證書失效問題,該公司正在“調查問題以確定問題和解決方案”。“我們仍在審查我們的日誌和記錄,以查看任何潛在風險的範圍,”該公司總法律顧問Angel Marrero在一封電子郵件中說。
我們詢問該公司是否計劃通知監管機構和客戶。Marrero表示,該公司“將遵守現行聯邦和州法律法規規定的任何及所有必要通知(如適用)。”
Meditab和MedPharm都聲稱符合HIPAA,即《美國健康保險流通與責任法案》,該法案管理醫療服務提供者如何正確管理患者的數據安全。
洩露數據或違法的公司可能面臨巨額罰款。
去年是“創紀錄”罰款的一年- 幾次暴露和違規行為約為2500萬美元,其中包括對德克薩斯大學無意中披露加密個人健康數據的430萬美元罰款,費森尤斯的解決方案為350萬美元。五個不同的違規行為。
美國衛生和公共服務部的發言人沒有發表評論。