实验室测试公司LabCorp通过不安全的CRM系统公开患者数据

实验室测试公司美国实验室控股公司(Laboratory Corp. of America Holdings)(又称LabCorp)由于种种错误原因而再次出现在新闻中:TechCrunch今天报道说,该公司已将成千上万的医疗文件暴露在网上。

LabCorp在6月的新闻中排名倒数第二,当时有770万患者的记录被盗。其中包括患者姓名,出生日期,地址,电话号码,服务日期和提供者,在某些情况下还包括信用卡和银行帐户信息。 2018年7月,该公司成为勒索软件攻击的受害者。

这次,LabCorp通过其客户关系管理系统的不安全部分公开了患者记录。目前尚不清楚是否有不良行为者访问数据,但TechCrunch指出,只需简单的工作就可以找到主要与癌症患者有关的数据。

数据包括姓名,出生日期,在某些情况下还包括患者的社会安全号码。此外,某些公开的数据包括实验室测试结果和诊断数据-受《健康保险可移植性和责任法案》或HIPAA保护的数据。

连续应用程序安全平台提供商ShiftLeft Inc.首席技术官Chetan Conikee告诉SiliconANGLE表示:“ LabCorp安全漏洞是不安全的直接对象引用漏洞的一种情况,该漏洞使攻击者能够发现并绕过授权并直接访问关键资源。他补充说,攻击者可能会修改参数的值(可能是患者ID),以获取对个人身份信息数据的访问权限。

Conikee说:“这些关键资源可能是属于其他用户的数据库条目,系统中的文件等等。” “这是由于该应用程序接受用户提供的输入,并使用它来检索对象而没有执行足够的授权和验证检查这一事实。”

身份验证公司Jumio Corp.首席执行官Robert Prigge认为,这对成千上万名患者的生命造成的影响可能是巨大的,因为他们的大部分信息现在很有可能在暗网上,这是网络中可疑的一部分可以使用特殊软件访问互联网。这使他们容易遭受身份盗用,帐户超越甚至处方欺诈的侵害。

企业安全公司AttackIQ Inc.的联合创始人兼首席技术官Stephan Chenette说,医疗保健行业是网络犯罪分子的主要目标,因为当在暗网上出售数据时,它们可以带来非常可观的利润。

“与财务数据不同,医疗保健数据通常包含固定信息,例如出生日期和社会保险号,盗贼可以利用这些信息来进行未来几年的身份盗窃,” Chenette解释说。 “管理大量机密患者信息的LabCorp和其他医疗保健组织必须采取积极措施来保护其数据。”

图片:LabCorp

资讯来源:由0x资讯编译自SILICONANGLE。版权归作者Duncan Riley所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢