据外媒TechCrunch报道,一家健康科技公司在安全证书失效导致服务器没有密码后,每天泄漏数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab,自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真,仍然是将患者文件共享给其他提供商和药房的主要方法。
但据发现数据的安全公司称,该传真服务器没有得到妥善保护。总部位于迪拜的网络安全公司SpiderSilk告诉TechCrunch遭泄露的服务器。自2018年3月创建以来,公开的传真服务器运行的Elasticsearch数据库拥有超过600万条记录。
由于服务器没有密码,任何人都可以实时读取传输的传真 – 包括其内容。
根据对数据的简要回顾,传真包含大量个人身份信息和健康信息,包括医疗记录、医生药方、处方数量和数量,以及疾病信息等。传真还包括姓名、地址、出生日期,在某些情况下还包括社会安全号码和健康保险信息以及支付数据。
传真还包括有关儿童的个人数据和健康信息。没有数据被加密。
Patel表示,关于安全证书失效问题,该公司正在“调查问题以确定问题和解决方案”。“我们仍在审查我们的日志和记录,以查看任何潜在风险的范围,”该公司总法律顾问Angel Marrero在一封电子邮件中说。
Meditab和MedPharm都声称符合HIPAA,即《美国健康保险流通与责任法案》,该法案管理医疗服务提供者如何正确管理患者的数据安全。
泄露数据或违法的公司可能面临巨额罚款。
去年是“创纪录”罚款的一年 – 几次暴露和违规行为约为2500万美元,其中包括对德克萨斯大学无意中披露加密个人健康数据的430万美元罚款,费森尤斯的解决方案为350万美元。五个不同的违规行为。
使用过期的证书会发生的风险
对于网站所有者来说,SSL证书能保证网站流量不被劫持,一旦ssl证书过期失效,那么网站流量就很有可能被劫持。随着网站变得不安全而减少信任;放弃购买的几率增加,销售额和收入下降;企业品牌和声誉受到不良影响。
对于网站用户来说,SSL证书过期会使得浏览器弹出证书错误的安全警告;个人信息受到中间人攻击的威胁;个人易受欺诈和身份盗用。 如果他们的浏览器警告他们网站不安全,或者在这种情况下他们的连接不安全,那么大多数网民一定会选择不再继续访问该网站。
市面上除了正规CA机构以外还有许多小型服务商签发SSL证书,但小型服务商签发的证书根本不可信。因为证书信任链的顶层就是CA机构,而这些小的服务商不仅缺乏CA机构的公信力,在对证书密钥的保存能力和涉及到证书后续的维护、更新、赔偿等服务时,也无法和正规CA机构相比。所以选择CA机构时需要谨慎选择。
我国经过国际Webtrust标准认证的CA机构仅有3家,而数安时代就是其中之一,除了自主品牌GDCA,还有Symantec、Globalsign、GeoTrust等品牌。数安时代以最安全的解决方案、专业的技术支持团队用户提供最权威的认证服务和最安全的认证保障。拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供7*24一对一服务与技术支持。如有需要可到官网咨询客服。
领取优惠
提交成功!