Cele mai mari breșe de date medicale din istorie
În aprilie 2019, încălcări ale datelor din domeniul sănătății a atins un record . Și în ultimii patru ani, domeniul sănătății a avut al doilea cel mai mare număr de încălcări în comparație cu alte industrii. In total, Aproape 10 milioane de înregistrări au fost expuse în cazurile de încălcare a asistenței medicale din SUA numai în 2018 . Prevalența și dimensiunea încălcării datelor medicale este extrem de îngrijorătoare, mai ales dacă țineți cont de faptul că multe dintre informațiile încălcate pot fi valoroase pentru criminali.
În special, înarmați cu informațiile medicale ale cuiva, hoții pot comite cu ușurință furt de identitate medicală pentru a primi tratament, pentru a obține rețete de medicamente sau pentru a face afirmații false sub numele victimei. Efectele fraudei de asigurări medicale asupra victimelor includ pierderi financiare mari, rating de credit slab și acces limitat la asistență medicală urgentă. Ce mai mult, datele medicale sunt adesea împachetate cu informații personale , inclusiv numere de securitate socială (SSN), precum și informații financiare. Aceste date pot fi vândute pe piața neagră sau utilizate într-o serie de infracțiuni, inclusiv fraudă cu cardul de credit și furtul de identitate în întregime.
În această postare, dezvăluim cele mai mari încălcări ale datelor medicale din istorie. Încălcările în care au fost expuse 1,5 milioane de înregistrări sau mai mult au ajuns pe listă. Am enumerat incidentele în ordine cronologică, începând cu cel mai recent.
1. Quest Diagnostics (2019)
Dimensiune breșă: 11,9 M
American Medical Collection Agency (AMCA) este un furnizor de servicii de facturare medicală care lucrează cu Quest Diagnostics. În iunie 2019, AMCA a descoperit că un utilizator neautorizat a putut să-și acceseze sistemele și să fure potențial datele pacienților Quest. Informațiile au cuprins aproape 12 milioane de înregistrări ale clienților, inclusiv informații medicale, SSN și date financiare.
Două. MedicareSupplement.com (2019)
Dimensiunea bresei: 5 M
În mai 2019, Comparitech a lucrat cu cercetătorul de securitate Bob Diachenko pentru a descoperi o bază de date expusă aparținând aparent MedicareSupplement.com. Această companie de marketing de asigurări din SUA oferă cotații pentru asigurarea medicală suplimentară.
Baza de date – care părea să conțină date despre clienții potențiali de marketing – a fost lăsată deschisă și accesibilă online și a fost indexată de motorul de căutare BinaryEdge. Informațiile din fiecare înregistrare au inclus numele și prenumele, adresa completă, adresa IP, adresa de e-mail, data nașterii, sexul și informațiile legate de marketing. Peste 200.000 de înregistrări conțineau și informații despre domeniul de interes de asigurare al utilizatorului, de exemplu, asigurarea împotriva cancerului.
Am anunțat compania despre expunere și baza de date a fost securizată de atunci. Nu se știe dacă a fost accesat de părți rău intenționate în timp ce a fost lăsat deschis.
3. Ghidul secției (2019)
Dimensiunea bresei: 2,7 M
O altă încălcare mare în 2019 a avut loc în Suedia, implicând linia de asistență medicală Vardguiden. Publicația tehnologică suedeză, Computer Sweden, a dezvăluit că înregistrările audio ale milioanelor de apeluri către linia fierbinte au fost expuse online pentru ca oricine să le poată obține. Înregistrările se aflau pe un server web deschis care nu avea cerințe de criptare sau autentificare. Deși această breșă a fost descoperită în februarie 2019, apelurile datează din 2013 și este posibil să fi fost expuse tot timpul între ele.
Încălcarea a afectat 2,7 milioane de apeluri care s-au ridicat la 170.000 de ore de sunet sensibil. Tipurile de informații divulgate diferă de la apel la apel, dar cele mai multe au inclus date medicale, cum ar fi istoricul medical, afecțiunile și medicamentele legate de apelant sau de copiii lor. În unele cazuri, apelanții și-au furnizat SSN-urile și multe dintre fișierele de înregistrare aveau numere de telefon asociate.
În prezent, nu este clar cine este vinovat pentru încălcare. Subcontractantul Medicall din Thailanda, responsabil pentru gafa, neagă că s-a întâmplat.
Patru. Grupul de sănătate imediată (2019)
Dimensiunea bresei: 1,57 M
Inmediata Health Group este un administrator de sănătate din Puerto Rica, care oferă servicii de compensare, software și instrumente de externalizare diferitelor instituții de sănătate și practicieni. În ianuarie 2019, compania și-a dat seama că o eroare în sistemele lor însemna că paginile web interne erau indexate de motoarele de căutare.
Peste 1,5 milioane de pacienți au fost afectați de încălcare, iar informațiile scurse au inclus nume, adrese, sex, date de naștere, date privind cererile medicale și, în unele cazuri, SSN.
5. Soluții AccuDoc (2018)
Dimensiunea bresei: 2,65 M
AccuDoc Solutions Inc. oferă servicii de facturare a asistenței medicale și a făcut obiectul unei breșe mari de date în septembrie 2018. Compania este responsabilă de operarea sistemului de plată online al Atrium Health. Aceasta este o rețea de peste 40 de spitale din Carolina de Nord și de Sud și Georgia.
Baza de date Atrium Health (deținută de AccuDoc Solutions) a fost încălcată de hackeri care au putut vedea informații despre pacienți, inclusiv nume, adrese, informații despre asigurările de sănătate, datele serviciilor și multe altele. În unele cazuri (aproximativ 700.000), SSN-urile au fost și ele expuse.
6. Sănătate Sud-Est (2018)
Dimensiunea bresei: 2,9 M
Health South East RHF este o organizație de asistență medicală care gestionează multe dintre spitalele din Norvegia. În ianuarie 2018, organizația a dezvăluit o încălcare care a afectat datele a mai mult de jumătate din populația Norvegiei. Scurgerea a fost rezultatul unei încercări de hacking, dar nu este clar exact ce informații au accesat hackerii.
7. Banner Sănătate (2016)
Dimensiunea bresei: 3,62 M
Banner Health, un sistem de sănătate bazat pe Phoenix, a fost în centrul unui hack din iunie 2016. Încălcarea părea inițial să implice doar datele financiare ale persoanelor care au făcut achiziții de la chioșcurile cu alimente și băuturi din anumite locații Banner. Cu toate acestea, s-a descoperit ulterior că hackerii ar fi putut avea acces la informații despre pacienți, inclusiv nume, adrese, numele medicilor, informații despre reclamații, informații despre asigurările de sănătate, SSN-uri și multe altele. Până la 3,7 milioane de oameni ar fi putut fi afectați.
8. Produse Newkirk (2016)
Dimensiunea bresei: 3,47 M
Newkirk Products Inc. oferă cărți de identitate de asistență medicală pentru diverși furnizori de planuri de asigurări de sănătate. În mai 2016, un hacker a exploatat o slăbiciune a portalului administrativ, obținând acces la un server care a stocat o mulțime de informații despre pacienți. Datele au inclus nume, adrese, numere de identificare, nume dependente, date de naștere și numere de identificare Medicaid. Newkirk a trebuit să notifice aproximativ 3,3 milioane de persoane despre încălcare.
9. Oncologia secolului XXI (2015)
Dimensiunea bresei: 2,2 M
21st Century Oncology (21CO), un furnizor de asistență medicală din Florida, a suferit o breșă mare în octombrie 2015. Compania, care la acea vreme opera aproape 200 de centre de tratament al cancerului, a fost notificată de FBI că un intrus a accesat informații despre pacient. Acestea au inclus nume, SSN, informații medicale și date de asigurare. Încălcarea a afectat aproximativ 2,2 milioane de pacienți.
21CO s-a oferit să ofere gratuit un an de servicii de protecție a identității pacienților. Cu toate acestea, compania a fost amendată cu 2,3 milioane de dolari de către Departamentul de Sănătate și Servicii Umane și a fost dat în judecată de mulți pacienți. A trecut prin faliment (mai ales din cauza altor probleme financiare), dar din 2019, procese împotriva companiei legate de încălcarea din 2015 sunt în curs de desfășurare.
10. Excellus BlueCross BlueShield (2015)
Dimensiunea bresei: 10,5 M
Un atac împotriva Excellus BlueCross BlueShield a început de fapt în 2013, deși nu a fost descoperit până în august 2015. Încălcarea a fost dezvăluită după ce mai multe asigurări de sănătate au suferit încălcări majore și Excellus a angajat anchetatori criminaliști pentru a evalua sistemele IT ale companiei.
Datele au fost criptate, dar hackerii au reușit să obțină controale administrative, făcând criptarea inutilă. În încălcare au fost implicate datele personale aparținând a 10,5 milioane de persoane. Informațiile obținute de hackeri includ nume, adrese, date de naștere, SSN, numere de plan de sănătate, informații financiare și informații despre reclamații.
unsprezece. Universitatea din California, Los Angeles Health System (2015)
Dimensiunea bresei: 4,5 M
Rețeaua de calculatoare a sistemului de sănătate al Universității din California, Los Angeles (UCLA) a fost atacată de hackeri încă din septembrie 2014, deși încălcarea a fost descoperită abia în iulie 2015. Hackerii au reușit să acceseze informații sensibile despre până la 4,5 milioane de oameni. Este posibil ca datele încălcate să fi inclus nume, date de naștere, numere SSN, Medicare sau alte numere de plan de sănătate și informații despre istoricul medical.
Organizația a fost criticată, deoarece datele ar fi trebuit criptate pentru a evita accesul neautorizat. Într-adevăr, a existat un proces colectiv intentat în numele victimelor, iar UCLA Health System a trebuit să plătească un decontare de 7,5 milioane de dolari .
12. Inginerie informatică medicală (2015)
Dimensiunea bresei: 3,5 M
Medical Informatics Engineering, cu sediul în Indiana, oferă software și servicii electronice de înregistrare medicală. În 2015, filiala companiei NoMoreClipboard a suferit o breșă majoră atunci când hackerii au accesat informațiile de sănătate a 3,5 milioane de oameni. Compania a soluționat recent un caz de încălcare a HIPAA legat de încălcare și a trebuit să plătească 100.000 de dolari.
13. Imnul Crucea Albastră (2015)
Dimensiunea breșei: 78,8 M
O altă companie lovită de o penalizare (deși aceasta a fost mult mai mare) a fost Anthem Blue Cross. Descoperit în ianuarie 2015, un atac cibernetic asupra organizației – care poate să fi început încă din 2014 – a expus informațiile despre sănătate a aproape 79 de milioane de oameni.
Datele scurse au inclus nume, date de naștere, adrese stradale, adrese de e-mail, ID-uri medicale, SSN și informații despre angajare și venituri.
Compania a trebuit să plătească un acord de 115 milioane de dolari în 2017, iar în 2018, a fost lovită cu o amendă de 16 milioane de dolari .
14. Diametrul Crucii Albastre (2015)
Dimensiunea breșei: 11 M
În ianuarie 2015, Premera Blue Cross a descoperit o încălcare care a avut loc de fapt în mai 2014. Sfera de aplicare a încălcării a fost larg, deoarece este posibil să fi fost expuse date referitoare la pacienți care se întorc până la treisprezece ani. În total, este posibil să fi fost afectați până la 11 milioane de clienți.
Datele încălcate au inclus dosare medicale, SSN, date de naștere și informații despre contul bancar. Există un proces colectiv în curs împotriva organizației în care reclamanţii au acuzat recent Premera de distrugere a probelor care erau cruciale pentru caz.
cincisprezece. Avocați asistența medicală (2013)
Dimensiunea bresei: 4,03 M
Advocate Medical Group operează 12 spitale și peste 200 de alte centre de tratament. În august 2014, organizația din Illinois a început să alerteze pacienții că a făcut obiectul unei încălcări a datelor cu o lună mai devreme. Această încălcare a avut loc ca urmare a furtului fizic a patru computere protejate cu parolă dintr-un birou administrativ.
Deși computerele erau protejate prin parolă, nu erau criptate. Informațiile scurse au inclus nume, adrese, date de naștere și SSN. De asemenea, a inclus o mulțime de date medicale, cum ar fi medic curant, numere de dosare medicale și informații despre asigurările de sănătate. Au existat chiar și informații detaliate despre medici înșiși, inclusiv SSN-uri, identificatorii naționali ai furnizorilor (NPI) și numerele de licență.
Ulterior, organizația a fost obligată să plătească o decontare de 5,55 milioane de dolari, care era cea mai mare de acest gen la acea vreme.
16. Fundația medicală Sutter (2011)
Dimensiunea bresei: 4,24 M
Sutter Medical Foundation este un sistem de sănătate non-profit din California de Nord. A suferit o breșă de date care implică informații despre 4,24 milioane de pacienți atunci când un computer desktop a fost furat dintr-un cabinet medical din Sacramento.
Similar cu încălcarea Advocate, computerul a fost protejat de o parolă, dar nu a fost criptat. Datele au inclus informații personale și medicale, dar nu SSN-uri sau numere de plan de sănătate.
Organizația a fost dat în judecată într-un proces colectiv pentru mai mult de 1 miliard de dolari, dar ulterior a fost respins.
17. TRICARE (2011)
Dimensiunea bresei: 4,9 M
TRICARE este programul de asistență medicală al Departamentului Apărării. În 2011, din mașina unui angajat al programului au fost furate benzi de rezervă care conțineau fișe electronice de sănătate. Acestea au conținut date despre 4,9 milioane de pacienți, inclusiv nume, SSN, adrese, numere de telefon, note clinice și informații despre prescripție medicală.
18. Serviciul Național de Sănătate din Marea Britanie (2011)
Dimensiunea bresei: 8,63 M
În iunie 2011, ziarele britanice au raportat o încălcare masivă a Serviciului Național de Sănătate (NHS). Se pare că 20 de laptopuri au dispărut dintr-un depozit dintr-o organizație de cercetare medicală a NHS. Unul dintre computere conținea date despre 8,63 milioane de pacienți și era protejat prin parolă, dar necriptat. Informațiile nu au inclus nume, dar au inclus coduri poștale, origine etnică, vârstă și informații despre vizitele la spital.
19. Health Net (2011)
Dimensiune breșă: 1,9 M
În martie 2011, nouă servere au dispărut din centrul de date al Health Net operat de IBM din California. Se crede că 1,9 milioane de clienți existenți și anteriori ai furnizorului de asigurări au fost afectați. Informațiile stocate pe servere includ nume, adrese, SSN-uri, informații financiare și informații despre sănătate.
douăzeci. Corporația de Sănătate și Spitale din New York (2010)
Dimensiunea bresei: 1,7 M
În decembrie 2010, benzile necriptate aparținând New York City Health and Hospitals Corporation au fost furate dintr-un camion care transporta benzile într-o locație de depozitare securizată. Acestea conțineau detalii despre până la 1,7 milioane de pacienți, inclusiv nume, adrese, SSN și istoricul medical. La acea vreme, aceasta era cea mai mare încălcare raportată în temeiul regulii de notificare a încălcării Legii privind Tehnologia Informației în Sănătate pentru Sănătate Economică și Clinică (HITECH), care era în vigoare din septembrie 2009.
douăzeci și unu. Health Net (2009)
Dimensiunea bresei: 1,5 M
Încălcarea Health Net din 2011 menționată mai sus nu a fost prima sa încălcare majoră. În noiembrie 2009, a anunțat că a făcut obiectul unei breșe majore în luna mai a acelui an. Un hard disk a dispărut care conținea date despre 1,5 milioane de clienți, inclusiv informații financiare și medicale.
22. Departamentul de Sănătate din Virginia (2009)
Dimensiunea bresei: 8,26 M
O agenție implicată cu Departamentul de Sănătate din Virginia a fost în centrul unei încălcări masive în mai 2009. Agenția era responsabilă de o bază de date online cu rețete care a fost deținută pentru răscumpărare de hackeri care au cerut 10 milioane de dolari pentru returnarea acesteia. Baza de date deținea peste 8 milioane de înregistrări ale pacienților care ar fi putut include informații personale (inclusiv SSN) și informații despre prescripție medicală.
23. Spitale și clinici ale Universității din Utah (2008)
Dimensiunea bresei: 2,2 M
Spitalele și clinicile de la Universitatea din Utah au suferit o încălcare a datelor stocate pe benzi fizice atunci când acestea au fost furate în iunie 2008. Casetele conțineau informații de facturare, dosare medicale și SSN-uri ale a 2,2 milioane de pacienți. Ei au fost returnați doar câteva zile mai târziu și două persoane au fost acuzate de crimă. Totuși, universitatea a ajuns cheltuind mai mult de 3 milioane de dolari ca urmare a încălcării.
Vezi si:
- Ce este furtul de identitate medicală și cum îl poți evita?
- Statistici privind încălcarea datelor
Credit imagine: „ Tehnologie ” de Gerd Altmann licențiat sub CC BY 2.0