弗吉尼亚联邦大学卫生系统 (VCU) 宣布,自 2006 年以来,其他人可以在患者门户网站上查看属于移植供体和接受者的敏感数据。这家医疗保健提供者表示,有 4,441 人在违规行为中受到影响,其中涉及数据,包括姓名、社会安全号码、实验室结果、医疗记录号码和/或出生日期。
VCU 说,当移植接受者、捐赠者和/或其代表登录接受者和/或捐赠者的患者门户网站时,这些信息“可能已经被看到”。
数据泄露是在 2022年2月7日发现的,有关所涉及数据类型的更多信息是在3月29日和 5月27日发现的。VCU 尚未公布有关隐私事件如何发生的任何细节,但表示没有证据表明任何信息被滥用。
Synopsys Software Integrity Group 的高级安全顾问 Ashutosh Rana在接受The Daily Swig 采访时推测可能发生了什么,并确定这可能是配置错误的“典型案例”。
Rana 说:“从有限的信息来看,这似乎是设计问题或配置错误的典型案例,患者(捐赠者或接受者)可以访问其他人的数据,而无需积极利用系统中的任何弱点。任何用户只需登录即可查看其他人的信息,因为系统的设计就是这样的。“
“患者门户网站是任何医疗保健系统的重要组成部分,因此看到这个缺陷这么长时间未被发现是令人惊讶的。好消息是,似乎任何患者都必须有一个有效的账户(捐赠者或接受者)才能参与这一事件,在某种意义上包含了该事件。”
他们补充说:“如今,许多医疗保健系统的设计方式是,诸如 SSN、DOB 或其他 PII/PHI 之类的敏感信息要么根本不共享,要么默认情况下至少隐藏在屏幕上,查看它们也需要额外的步骤——进行身份验证。”
VCU 的一位发言人告诉The Daily Swig:“器官捐赠者和接受者可能会看到实验室结果、医疗记录编号、调查日期和生日等数据。捐赠者只能查看一位接受者的信息(如果有的话)。
“接受者可能看过的捐赠者数量取决于接受检测的潜在捐赠者的数量。
“我们为这种可能性投保,并通过我们的保险范围与我们可用的网络安全专家合作解决问题。”
不要在多个医疗网站上使用相同的密码;
不要在医疗网站/App上留过多的个人私密信息;
勤换密码,勤换密码,勤换密码;
如果要在这些网站/App自拍,最起码打个码!!!
使用小号(比如手机号用阿里小号……);
网上问诊在不是太熟悉对方的时候,真不要太毫无保留,有病得去正规医院看,即便是难言之隐。
企业数据泄露的隐私保护措施
企业不仅需要外防攻击,还要内防外泄,内外兼防的邮件管理系统才能确保企业网络安全。
1、操作系统进行及时更新
通过定期对操作系统进行升级和更新的办法有效堵塞操作系统的安全漏洞,对操作系统进行及时更新,防患于未然。
2、终端安装杀毒软件
定期对网络终端系统进行杀毒,保证网络终端系统能够抵御病毒攻击,提高安全性。
3、采用信息加密技术
结合数据库的使用特点,对数据库中的信息采取加密技术,防止数据库中的数据被盗用,提高数据的安全性。
4、部署SSL证书
SSL是为网络通信提供安全及数据完整性的一种安全协议。SSL在传输层对网络连接进行加密,防止传输数据被他人窃取、窥视或篡改。
近年来,网络黑客将医疗行业列入网络攻击的目标之一,全球的医疗行业的网络攻击事件也在逐年递增。据网络专家反馈的分析,医疗行业的网络攻击事件之所以不断增加,其中重要原因之一医疗行业的数据库存在大量的个人隐私信息、医疗行业的网络防护技术不够成熟,同时也存在网络行为不当的隐私所在,由此可见医疗信息安全防护亟需优化。
消息来源:E安全
领取优惠
提交成功!