Fehler macht 1,5 Millionen Menschen Private medizinische Aufzeichnungen auf Amazon Webservices [aktualisiert]
Polizei-Verletzungen berichten, Drogen-Tests, detaillierte Arzt Besuch Notizen, Sozialversicherungsnummern – alle wurden auf einer öffentlichen Subdomain von Amazon Web Services aus unerklärlichen Gründen vorgestellt. Willkommen Sie bei der nächsten big-Data-Verletzung-Horrorshow. Anstelle von Hackern ist es altmodisch Vernachlässigung von Unternehmen, die Verwaltung von Daten, die Ihre sensibelsten Informationen ausgesetzt.
Texas Tech-Enthusiasten Chris Vickery hatte seltsame Daten gehört, die Deponien auf Amazons Cloud computing-Plattform, auftauchen könnte, so dass er begann durch Kämmen. Anfang September fand er eine enorme Datenschutzverletzung, die die private medizinische Informationen von Millionen von Amerikanern gelassen sitzen im freien online.
"Es fiel einfach in meinen Schoß," sagte er Gizmodo.
Nachdem Vickery die Daten heruntergeladen und erkannte, was es war, begann er Kontakt mit den Organisationen beeinflusst. Unter den exponierten: Kansas State Self Insurance Fund, CSAC Excess Insurance Authority und der Salt Lake County Datenbank.
Geschwärzte Dateien aus der Verletzung
Die Daten kamen von Systema Software, eine kleine Firma, die Versicherungsansprüche verwaltet. Es ist noch nicht klar, wie die Daten auf der Website gelandet, aber das Unternehmen Vickery bestätigen, dass es passiert ist.
Kurz nach Vickery machte Kontakt mit den betroffenen Organisationen, die Datenbank aus der Amazon-Subdomain verschwunden. Am 14. September per e-Mail Systema Software COO Danny Smith Vickery zu sagen:
Ich wollte Ihnen mitteilen, dass wir alle unsere Kunden an dieser Stelle kontaktiert und sie sich der Situation bewusst machte. Wieder sind wir dankbar, dass du es warst, die diese Ausstellung zu finden, und Ihre Absichten gut sind.
Unsere Kunden sind auf der Suche nach Bestätigung, dass Sie ihre Daten nicht mit niemandem geteilt haben, es nicht geben und es löscht.
Vickery behauptet, dass wenn er mit Smith sprach, COO sagte ihm, dass die Daten durch eine Fremdfirma Fehler sichtbar blieb. Wir haben für Kommentar auf Systema und andere Unternehmen durch den Verstoß beeinträchtigt streckte und werden aktualisieren, sobald wir mehr wissen.
Morgen, Vickery schaltet über die Daten zu den Texas Attorney General, wo es zerstört werden. Aber das bedeutet nicht, dass Systema im klaren ist. Vickers möglicherweise nicht die einzige Person, die diesen Millionen von Datensätzen heruntergeladen, wie sie in der Amazon Cloud saßen.
Wir wissen nicht, wie lange die Informationen verfügbar für jedermann zu sehen war. Aber egal, was den Zeitrahmen, die Vernachlässigung könnte eine Verletzung HIPAA: Systema versäumt, die Sicherheit der Patienten elektronische medizinische Informationen zu schützen.
Während Systema Glück diesmal bekommen haben kann, sollte nicht der Schwerpunkt dieser Art von Vernachlässigung ignoriert. Ja, vielleicht keine schlechte Schauspieler sahen es. Aber ein Unternehmen mit einigen der persönlichsten Aufzeichnungen von Millionen von Menschen anvertraut irgendwie geschafft, bungle Schutz es in einem solchen Maße, dass eine zufällige Kumpel online gefunden.
Dies sollte ein Wakeup Nebelhorn für Unternehmen, die Speicherung von elektronischen Patientenakten. Schlechte Sicherheit Hygiene hat das Potenzial, ebenso schädlich wie böswillige Hacker werden.
Aktualisieren 10:56: Wir erhielten Bestätigung von einer der betroffenen Organisationen, Kansas Department of Health und Umwelt. Die gute Nachricht ist, dass es scheint, dass Vickery war die einzige Person, die Zugriff auf die Daten gesammelt. Die Organisation Erklärung dieser zu uns:
Am 9. September wurde die Kansas Department of Health und Umwelt (KDHE) mitgeteilt, dass eine Datei mit Informationen im Zusammenhang mit Online-beschäftigten Arbeitnehmers Vergütungsinformationen (gemeinhin als der Staatsfonds Selbstversicherung) Zustand entdeckt worden war. Wir arbeiten mit unseren Vertragspartner zu bestimmen, welche Informationen verfügbar war und zu denen es verfügbar war. Wir sind zuversichtlich, dass alle Identitäten sicher und vertraulich bleiben. Während dieses Prozesses, wir fanden, dass die Datei, von nur einer einzigen Person heruntergeladen wurde – die Person, die KDHE hierüber benachrichtigt. Sobald KDHE mitgeteilt wurde, gingen wir sofort auf der Website, wo diese Datei entdeckt wurde und die Datei war nicht mehr zugänglich. Wir haben versichert, dass diese Datei nicht weiter verteilt wurde und es wird nicht verwendet oder verteilt in der Zukunft. KDHE arbeitet weiter mit unserem Lieferanten um sicherzustellen, dass ähnliche Fälle in Zukunft nicht mehr auftreten.
Aktualisiert 02:27: Wir habe Bestätigung von Systema-Sprecher, die uns gesagt:
Systema Software wurde vor kurzem bekannt, dass eine einzelne Person nicht genehmigten Zugriff in unserer Daten-Storage-System enthält Daten, die für bestimmte Systema-Kunden gehören. Neben der Kommunikation mit Systema, diese Person auch selber diese Entdeckung, dass die zuständigen Behörden und die betroffenen Kunden gemeldet und ist im Prozess der Arbeit mit der Texas Attorney General sicher alle Daten von seiner Festplatte löschen. Während unserer Untersuchung noch nicht abgeschlossen ist, es ist wichtig zu beachten, dass, basierend auf unseren ersten Beitrag, wir haben keinen Hinweis darauf, dass keine Daten unsachgemäß verwendet wurde. Jedoch aus einer Fülle von Vorsicht, nach dem Lernen dieser Ausgabe haben wir Sofortmaßnahmen einschließlich:
· Einleitung einer umfassenden internen Überprüfung um die Möglichkeiten von der Veranstaltung und die notwendigen Sanierungsmaßnahmen zu ermitteln
· Benachrichtigung der betroffene Organisationen
· In enger Zusammenarbeit mit staatlichen und Bundesbehörden sowie einer der führenden forensischen es fest
Die Privatsphäre und Sicherheit der Daten unserer Kunden ist unsere oberste Priorität, und wir werden weiterhin die entsprechenden Schritte benötigt, um ihre Informationen zu schützen und verbessern unsere Datensicherheitsrichtlinien.
Update 16:09: Ich fragte Systema, wenn es Vickerys Schätzung verweigert, dass 1,5 Millionen Menschen wurden von der Verletzung betroffen, und Vertreter diese Aussage gab: "Wie ist gemeinsam mit ähnlichen Veranstaltungen, bis die Untersuchung abgeschlossen ist, es schwierig sein wird, den vollen Umfang des Vorfalls bestätigen, aber wir werden weiterhin wachsam zu arbeiten, um dieses Problem zu beheben und bieten Updates, wie wir, mehr von unseren Beitrag lernen."