Через помилку в конфігурації бази даних відкрито доступ до 2,7 млн медичних профілів пацієнтів у США та 8,8 млн записів про прийоми.
Команда дослідників виявила незахищену базу даних MongoDB, яка містила персональні медичні дані американських пацієнтів. Усього було викрито 2,7 млн записів пацієнтів і 8,8 млн записів про медичні прийоми. Хоча офіційно джерело витоку не підтверджено, ознаки вказують на компанію Gargle, яка надає маркетингові та ІТ-послуги стоматологічним клінікам. Дані містили ПІБ, дати народження, email, телефони, адреси, гендер, ID-карти, записи прийомів і навіть платіжні дані. Після інформування компанії витік було усунено, але коментарів вона поки не надала.
MongoDB — популярна база даних, яку часто залишають відкритою через помилки в конфігурації. Подібні інциденти трапляються в багатьох сферах, але особливо небезпечні в медицині, адже компанії, що працюють із пацієнтськими даними, зобов’язані дотримуватися стандартів HIPAA. Витік показав, наскільки ризикованим є залучення третіх сторін до обробки чутливої інформації. Gargle, хоча й не є медичним провайдером, мала доступ до інструментів онлайн-запису, спілкування з пацієнтами та платіжної інтеграції.
Масштабний витік вчергове показав слабкі місця в ІТ-інфраструктурі медичного сектору. Компанії, які навіть опосередковано обробляють медичні дані, повинні дотримуватися жорстких стандартів кібербезпеки. Пацієнтам рекомендується слідкувати за підозрілими медичними рахунками, уникати фішингових повідомлень і розглянути підписку на моніторинг особистих даних.
