LabCorp安全漏洞暴露了数千份医疗文件

 
LabCorp网站上的一个安全漏洞暴露了成千上万份医疗文档，例如包含敏感健康数据的测试结果。
这是去年LabCorp在6月表示，有770万患者因信用卡数据泄露导致第三方支付处理方受到影响而发生的第二起事件。该漏洞还打击了其他几家实验室测试公司，包括Quest Diagnostics。
最新的安全漏洞是由LabCorp网站上的一个漏洞引起的，该漏洞被认为是托管公司内部客户关系管理系统的主机。尽管该系统似乎受到密码保护，但用于从后端系统提取患者文件的网站部分却暴露了。该不受保护的网址对搜索引擎可见，后来由Google缓存，从而使任何知道在哪里查找的人都可以访问。缓存的搜索结果仅返回一个文档-包含患者健康信息的文档。但是，更改和增加网址中的文档编号可以访问其他文档。
该错误现已修复。
通过使用计算机命令，我们通过返回公开文件的某些属性(例如文件大小)(而不是文件本身)来询问公开服务器是否存在，从而确定了公开文件的大概数量。这样一来，我们无需访问大量患者信息即可查看服务器上是否有文档，从而避免了进一步暴露患者隐私的情况。
结果显示至少有10,000个文档被暴露。
在我们检查以了解暴露了哪些数据的少数文件中，这些文件似乎在很大程度上影响了实验室综合肿瘤学专业测试部门的癌症患者。
这些文件包含姓名，出生日期，在某些情况下还包括患者的社会保险号。这些文件还包含实验室测试结果和诊断数据，这是根据《健康保险可移植性和责任法案》(HIPAA)被视为受保护的健康信息的一类数据。我们审阅的一些文件包含一个页脚通知，其中说：“该文件包含受州和联邦法律保护的私人和机密健康信息。”
违反HIPAA可能会被罚款。
黑客，社会工程师，SocialProof Security创始人雷切尔·托巴克(Rachel Tobac)说：“这是一个巨大的隐私问题，并且可能在未来几年内影响受影响的用户和患者。” “由于明显的原因，这些文件的敏感性质和私人医疗状况的泄漏是对这些患者的极大侵犯隐私权，但也出于某些不太明显的原因而令人遗憾。”
审查了我们的调查结果的烟草公司表示，医学信息对于身份盗窃，勒索和网络钓鱼的罪犯可能“非常有用”，因为在“信息是合法的，因为信息中包含信息的前提下，受害者可能更信任发件人”只有他们的医疗提供者可以知道或应该知道。”
该漏洞是在TechCrunch内部发现的，并已报告给LabCorp，后者随后将服务器脱机。尽管网址仍保留在Google的搜索结果中，但该链接现已失效。
LabCorp发言人唐纳德·冯·霍根(Donald Von Hogan)说：“我可以确认我们已经终止了对该系统的访问。”
LabCorp的冯·霍根(Von Hogan)在电话中表示，该公司不会确认在公开服务器上找到的文档“实际上是LabCorp信息”。
TechCrunch与许多患者联系以验证其信息。只有一个人通过电话确认其公开档案中的信息准确无误，但表示他们不想为这个故事取名。
据itu告说，文件中还有另外两个人的名字已经去世。
LabCorp在发表后通过电子邮件发送的一份声明中说，它将“酌情”通知受影响的患者，但没有透露是否会根据数据泄露通知法通知州和联邦当局。