SkillUp/Shutterstock Υγεία Υγεία (Αδειούχος) remix από τον Jason Reed

ΑΠΟΚΛΕΙΣΤΙΚΟ: Η εταιρεία αντλιών στήθους αφήνει εκτεθειμένα εκατομμύρια έγγραφα – εγείροντας ανησυχίες σχετικά με την ασφάλεια των δεδομένων στην υγειονομική περίθαλψη των γυναικών

Τουλάχιστον 7 εκατομμύρια έγγραφα αποκαλύφθηκαν.

Ένας κατασκευαστής θήλαστρων αποθηκεύει εκατομμύρια έγγραφα σε έναν εκτεθειμένο διακομιστή που περιλαμβάνει ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου γιατρών σε όλες τις Η.Π.Α.

Η ιατρική εταιρεία με έδρα την Καλιφόρνια, την οποία η Daily Dot αρνείται να κατονομάσει, προσφέρει πολλά μοντέλα θηλαστικών καθώς και παραπομπές σε πελάτες που αναζητούν προσωπική υποστήριξη από «έμπιστους ειδικούς» στον τομέα του θηλασμού.

Ο διακομιστής, ανακαλύφθηκε από Anurag Sen , ένας ερευνητής ασφάλειας cloud με CloudDefense.AI , εκτελείται από την υπηρεσία cloud computing της Amazon και περιέχει περίπου 7.151.537 έγγραφα συνολικά.

Τα έγγραφα, χωρισμένα σε δύο ξεχωριστές βάσεις δεδομένων, περιέχουν τα πλήρη ονόματα, τις διευθύνσεις επιχειρήσεων, τους αριθμούς φαξ και τους αριθμούς τηλεφώνου όσων ασκούν το ιατρικό επάγγελμα. Υπάρχουν επίσης αριθμοί National Provider Identifier (NPI), μοναδικά 10-ψήφια αναγνωριστικά που εκδίδονται σε παρόχους υγειονομικής περίθαλψης στις Η.Π.Α.

Σε δηλώσεις του στην Daily Dot, ο Sen δήλωσε ότι συνάντησε τον εκτεθειμένο διακομιστή ενώ χρησιμοποιούσε τα εσωτερικά εργαλεία της εταιρείας του για την παρακολούθηση διαρροών δεδομένων. Το ζήτημα ασφαλείας, πρόσθεσε ο Sen, φαίνεται ότι προκλήθηκε από ένα σφάλμα διαμόρφωσης που άφησε τον διακομιστή εκτεθειμένο χωρίς προστασία με κωδικό πρόσβασης.

Αν και πολλές από τις πληροφορίες θα μπορούσαν να βρεθούν δημόσια, παραμένει απίθανο οι αναφερόμενοι να γνωρίζουν ότι οι πληροφορίες τους είναι κεντρικά διαθέσιμες σε μια βάση δεδομένων αυτού του μεγέθους. Μια χρονική σήμανση σε μία από τις καταχωρίσεις σημειώνει ότι έγινε τον Ιούλιο του 2020.

Η Daily Dot προσέγγισε έναν αριθμό στη λίστα που υποτίθεται ότι ανήκει σε γιατρό στη Φλόριντα και επιβεβαίωσε ότι είναι ακριβής. Αφού ενημέρωσε μια γραμματέα για τον λόγο πίσω από την κλήση, η Daily Dot έκλεισε αμέσως το τηλέφωνο.

Ο Sen λέει ότι παρόλο που επικοινώνησε με την εταιρεία στις 11 Μαρτίου για να τους ενημερώσει για το σφάλμα ασφαλείας, η εταιρεία δεν απάντησε. Η Daily Dot επικοινώνησε μέσω μιας φόρμας επικοινωνίας στον ιστότοπό της και σε ένα email εξυπηρέτησης πελατών την περασμένη εβδομάδα, αλλά δεν έλαβε επίσης απάντηση.

Η Daily Dot αρνείται να κατονομάσει την εταιρεία, καθώς τα δεδομένα εξακολουθούν να είναι διαθέσιμα από τη δημοσίευση.

Αφού επικοινώνησε τηλεφωνικά με έναν εκπρόσωπο εξυπηρέτησης πελατών, η Daily Dot κλήθηκε να στείλει ξανά ένα email στην εταιρεία που στη συνέχεια θα προωθηθεί στο κατάλληλο μέρος. Αφού δόθηκε μια ολόκληρη εβδομάδα για να απαντήσει, δεν έγινε ποτέ καμία επαφή.

Ο ψευδώνυμος blogger Dissent Doe, ένας εξουσιοδοτημένος επαγγελματίας υγείας που καταγράφει τέτοιες εκθέσεις δεδομένων στο DataBreaches.net, υπέθεσε στην Daily Dot ότι τα δεδομένα θα μπορούσαν είτε να είναι λίστα πελατών είτε λίστα μάρκετινγκ.

Ο μπλόγκερ σημείωσε επίσης ότι ενώ η έκθεση είναι απίθανο να προκαλέσει σημαντική ζημιά, η εταιρεία θα μπορούσε δυνητικά «να χάσει οποιοδήποτε ανταγωνιστικό πλεονέκτημα εάν η λίστα επαφών της αποκτηθεί από ανταγωνιστές».

«Σε ό,τι αφορά την κακή χρήση των δεδομένων, έμαθα να μην υποτιμώ τι μπορούν να κάνουν οι δημιουργικοί εγκληματίες με πληροφορίες, οπότε το γεγονός ότι δεν θα έβλεπα τίποτα ιδιαίτερα κακό εκτός από το spamming δεν είναι
σημαίνει ότι οι έξυπνοι εγκληματίες δεν μπορούν να βρουν τρόπο να το χρησιμοποιήσουν», είπαν.

Αν και η έκθεση των δεδομένων μπορεί να μην είναι εγγενώς επικίνδυνη, η αποτυχία εφαρμογής βασικών μέτρων ασφαλείας από μια εταιρεία υγειονομικής περίθαλψης που διατίθεται στην αγορά για γυναίκες είναι ανησυχητική. Οι εταιρείες που χειρίζονται δεδομένα σχετικά με την υγειονομική περίθαλψη και την εγκυμοσύνη των γυναικών έχουν τεθεί υπό αυξημένο έλεγχο τον περασμένο χρόνο, μετά την ανατροπή του Roe εναντίον Wade , καθώς αυξάνονται οι φόβοι ότι τα κράτη που θέτουν εκτός νόμου τις αμβλώσεις θα μπορούσαν να χρησιμοποιήσουν ευαίσθητα δεδομένα για να βοηθήσουν στη δίωξη των αιτούντων άμβλωση.