Archer Health Inc. hastalarına ait büyük bir tıbbi ve kişisel bilgi önbelleği, şifreleme veya şifre koruması olmadan çevrimiçi olarak bir veritabanı bulunduktan sonra herkese açık olarak erişilebilir. Archer Home Health olarak da bilinen Archer Health Inc., Kaliforniya merkezli bir ev içi sağlık ve palyatif bakım hizmetleri sağlayıcısıdır.
İlk olarak siber güvenlik araştırmacısı Jeremiah Fowler tarafından tanımlanan ve Web Sitesi Planet’e bildirilen pozlama, binlerce kişiyi riske atabilecek son derece hassas dosyalar içeriyordu.
Veritabanı 23 gigabayt boyutunda 145.000’den fazla dosya tuttu. Belgeler arasında hasta değerlendirmeleri, evde sağlık sertifikaları, bakım planları, taburcu formları ve iç iletişim vardı.
Bunların birçoğu isimler, Sosyal Güvenlik Numaraları (SSN), adresler, telefon numaraları, hasta kimlik numaraları ve tıbbi bilgiler gibi kişisel bilgiler içeriyordu. Bazı klasörler hasta isimleriyle bile etiketlenirken, diğerleri “fakslı siparişler” veya “yönlendirmeler” gibi kategoriler içeriyordu ve verilerin hassas doğasını daha da doğruladı.
Dosyalar ayrıca, planlama ayrıntılarını, sağlayıcı bilgilerini ve hasta kayıtlarını gösteren sağlık yönetimi yazılımı gösterge panolarının ekran görüntülerini de içeriyordu. Bu tür maruziyetler, kimlik hırsızlığı, sahtekarlık ve HIPAA gibi tıbbi gizlilik düzenlemelerinin ihlalleri de dahil olmak üzere önemli riskler taşıyabilir.
Fowler, doğrudan şirkete maruz kalmayı bildirdi ve veritabanına erişim saatler içinde kısıtlandı. Archer Health, hasta gizliliğini ciddiye aldığını ve ekibinin sorunu araştırdığını belirterek bildirimi kabul etti.
Veritabanının ne kadar süre maruz kaldığı veya yetkisiz tarafların güvence altına alınmadan önce kayıtlara erişip erişmediği belirsizliğini koruyor. Bununla birlikte, bunun gibi olaylar, sağlık verileri uygun güvenlik kimlik doğrulaması olmadan saklandığında sürekli riskleri göstermektedir.
Olası yasal sonuçlar
Archer Health hızlı bir şekilde bilgilendirilirken, kayıtları maruziyete dahil edilen hastalar, tanımlayıcılarına veya tıbbi geçmişlerine kötü niyetli tehdit aktörleri tarafından erişildiyse veya veritabanının çevrimiçi olduğu süre boyunca kopyalandığında uzun vadeli sonuçlarla karşılaşabilir.
Ayrıca, bir sağlık hizmeti sağlayıcısı veya ilgili hizmet hassas verileri koruyamadığında, ciddi yasal maruziyetle karşılaşabilir. İlgili bir örnekte, Florida merkezli yanlış yapılandırılmış Amazon Web Hizmetleri (AWS) kovası ImDataCenter herkese açık olarak maruz kaldı“ThinkingOne” olarak bilinen bir bilgisayar korsanının isimler, e -postalar, adresler ve hatta Sosyal Güvenlik numaraları da dahil olmak üzere onlarca gigabayt kayıt indirmesine izin vermek.
Yanıt olarak, ImDataCenter artık veri sızıntısı üzerindeki bir davanın hedefidir. Archer Health benzer bir incelemeye karşı karşıya gelirse, gizlilik ve veri koruma yasaları, özellikle de sağlık ve kişisel bilgileri düzenleyen yasalar kapsamındaki iddialarla yüzleşebilir.