與其他行業(yè)不同的是，醫(yī)療行業(yè)一旦受到惡意的網(wǎng)絡(luò)攻擊，付出將是生命代價，而日漸猖獗的安全事故，也讓我們看到攻擊者對醫(yī)療行業(yè)的覬覦之心。

近日獲悉，一家健康科技公司在安全證書失效導(dǎo)致服務(wù)器沒有密碼后，每天都在泄漏數(shù)千張醫(yī)生藥方、醫(yī)療記錄和處方，而這家公司就是來自加利福尼亞州的Meditab，其為醫(yī)療保健提供商處理電子傳真，仍是將患者文件共享給其他提供商和藥房的主要方法。

發(fā)現(xiàn)此次數(shù)據(jù)泄露的SpiderSilk安全公司表示，該傳真服務(wù)器沒有得到妥善保護，且由于服務(wù)器沒有密碼，任何人都可以實時讀取傳輸?shù)膫髡妫�包括其�?nèi)容。自2018年3月創(chuàng)建以來，公開的傳真服務(wù)器運行的Elasticsearch數(shù)據(jù)庫擁有超過600萬條記錄。

據(jù)悉，傳真包含了大量的個人身份信息和健康信息，包括醫(yī)療記錄、醫(yī)生藥方、處方數(shù)量以及疾病信息等。不僅如此，傳真還包括了患者的姓名、地址以及出生日期，有些甚至還包括了社會安全號碼、健康保險信息、支付數(shù)據(jù)和與兒童有關(guān)的個人數(shù)據(jù)和健康信息。

據(jù)了解，該服務(wù)器托管于MedPharm Services的子域，而MedPharm Services是總部位于波多黎各的Meditab的一家分支機構(gòu)，由Kalpesh Patel創(chuàng)立。MedPharm作為一家獨立的公司在圣胡安被分拆出來，以便為那些在島上開展業(yè)務(wù)的人提供減稅優(yōu)惠。

對于此次事件，Patel表示關(guān)于安全證書失效問題，公司總法律顧問Angel Marrero在一封電子郵件中稱：公司正在“調(diào)查問題以確定問題和解決方案，我們?nèi)栽趯彶槲覀兊娜罩竞陀涗�，以查看任何潛在風(fēng)險的范圍”。

要知道，如今各國政府或組織都非常關(guān)注用戶信息保護問題，對于泄露數(shù)據(jù)或違法的公司或?qū)⒚媾R巨額罰款。對此，Meditab和MedPharm均聲稱符合HIPAA，也就是《美國健康保險流通與責(zé)任法案》，該法案管理醫(yī)療服務(wù)提供者如何正確管理患者的數(shù)據(jù)安全。

特別是在過去一年，可謂是罰款“創(chuàng)紀錄”的一年，幾次暴露和違規(guī)行為約為2500萬美元，其中包括對德克薩斯大學(xué)無意中披露加密個人健康數(shù)據(jù)的430萬美元罰款，費森尤斯的解決方案為350萬美元，五個不同的違規(guī)行為。