تقرير: سجلات موظفـ ي الرعاية الصحية المسربة تكشف عن المعلومات الشخصية لآلاف العاملين الطبيين والممرضات ومقدمي الرعاية عبر الإنترنت.
مرحبا بك أنت هنا فـ ي موقع استضافة مغربية تشاهد مفالة

اكتشف الباحث الأمـني ​​Jeremiah Fowler مع فريق بحث Website Planet قاعدة بيانات غير محمية بكلمة مرور تحتوي عــل ى ما مجموعه 170239 سجلاً. احتوت البيانات عــل ى تفاصيل العاملين فـ ي المجال الطبي والممرضات ومقدمي الرعاية. كشفت ملفات تعريف الموظفـ ين هذه عن الأسماء والهاتف والبريد الإلكتروني والمـنزل العناوين احتوت الحسابات أيضًا عــل ى روابط لصور الموظفـ ين والملفات التي تشير إلى بيانات الاعتماد والمستندات الضريبية (SSN / رقم الضمان الاجتماعي).

كانت هناك مراجع متعددة إلى “UseGale” فـ ي مجموعة البيانات. تضمـنت الملفات عناوين البريد الإلكتروني الداخلية وأسماء المستخدمين وكلمات المرور الإدارية بنص عادي. كانت هناك سجلات فـ ي المجلد المسمى “الموظفون” الذي يحتوي عــل ى المجال @ usegale.com مع إشارات إلى ” موظف داخلي فـ ي الشركة “. يُستخدم هذا المجال للترويج لتطبيق الهاتف المحمول لشركة Gale Healthcare Solutions التي توظف طاقم الرعاية الصحية. أرسلنا عــل ى الفور إشعارًا بالإفصاح المسؤول إلى عناوين متعددة وتم إغلاق الوصول العام فـ ي نفس اليوم.

وفقًا لموقعهم عــل ى الإنترنت “يستخدم تطبيق Gale أحدث تقنيات الأجهزة المحمولة لربط مرافق الرعاية الصحية التي تحتاج إلى المواهب السريرية بشبكتنا الكبيرة مـن الممرضات ومقدمي الرعاية المحليين المتاحين. مع Gale ، يمكن للمرافق ملء الورديات المفتوحة فـ ي غضون ثوانٍ ، والبقاء بسهولة عــل ى رأس الامتثال ولا تقلق أبدًا بشأن نقص الموظفـ ين مرة أخرى “.

ما البيانات التي تم كشفها:

  • إجمالي عدد السجلات: 170239 فـ ي مجلدين. جهات الاتصال 139 ألف والموظفون 31.5 ألف (فـ ي عينات كبيرة مـن السجلات يبدو أنها كانت فريدة مـن نوعها وبدون نسخ مكررة)
  • السجلات الداخلية التي تتضمـن الاسم الأول والأخير ، والهاتف ، ورسائل البريد الإلكتروني ، وعناوين المـنزل ، وتواريخ التوظيف ، وتواريخ التقديم ، ومستوى المهارة ، وبعضها يحتوي عــل ى ملاحظات مفصلة عن الحوادث والإنهاءات.
  • كلمات المرور بنص عادي ، يبدو أن أسماء المستخدمين هي اسم المستخدم أو عنوان البريد الإلكتروني الذي تم إدراجه أيضًا فـ ي الحساب. نفترض أن هذا سمح بالوصول إلى التطبيق أو بوابة الموظفـ ين.
  • روابط إلى حسابات تخزين AWS التي تحتوي عــل ى صور الموظف والملفات المسماة “بطاقة SSN” أو “بيانات الاعتماد”
  • كانت الصور بتنسيق يحتوي عــل ى الاسم الكامل للموظفـ ين ورقم بعنوان “SSN” فـ ي اسم الملف. هنا مثال عــل ى اسم الملف: https://REDACTED.com/gale-registration-documents/documents/Jane -Doe-CNA / Jane_Doe-CNA-SocialSecurityCard-123456789.jpeg
  • يمكن استخدام هذه البيانات المكشوفة لمجموعة مـن الجرائم بما فـ ي ذلك سرقة الهوية والخداع والابتزاز. باستخدام عناوين البريد الإلكتروني ، يمكن لمجرمي الإنترنت إطلاق حملة تصيد احتيالي مستهدفة أو هجوم هندسة اجتماعية باستخدام معلومات داخلية لبناء الثقة.
  • تعرض ملفات التخزين أيضًا مكان تخزين البيانات والمجلدات الفرعية التي يمكن أن تكون هدفًا ثانويًا.
  • السجلات التفصيلية للانضباط ، والإقالة ، وغيرها مـن المشاكل المتعلقة بالعمل التي لا ينبغي الكشف عنها علنًا.
خرق بيانات العامل الطبي
كيف بدت السجلات فـ ي نافذة المتصفح. تشير الكتل الحمراء إلى ما يبدو أنه SSN مستخدم كاسم للملف مع الاسم الأول والأخير.
خرق بيانات العامل الطبي
مثال عــل ى صورة شارة هوية RN (ممرضة مسجلة) مـن ملف الموظف الذي تضمـن الاسم الأول والأخير فـ ي اسم المستند.
خرق بيانات العامل الطبي
مثال عــل ى كيفـ ية هيكلة ملف الموظف بالملاحظات.

مخاطر هذا النوع مـن التعرض

سجلات التوظيف هي كنز مـن المعلومات لكل مـن أصحاب العمل ومجرمي الإنترنت. سرقة الهوية هي كابوس يمكن أن يستغرق سنوات للتعافـ ي مـنه والتسبب فـ ي ضرر مالي كبير فـ ي العملية. يستخدم المجرمون معلومات التعريف الشخصية مثل اسمك ورقم الضمان الاجتماعي ، وعنوان المـنزل لتحقيق مكاسب مالية شخصية.

بمجرد حصول المجرم عــل ى البيانات اللازمة ، يمكنه التقدم للحصول عــل ى بطاقات الائتمان والقروض والخدمات وتقديم الإقرارات الضريبية الاحتيالية والمزيد. يمكن جمع هذه المعلومات وبيعها لمجرمين آخرين فـ ي جميع أنحاء العالم عبر الويب المظلم. يقع العديد مـن هؤلاء المجرمين فـ ي أجزاء مـن العالم حيث يكاد يكون مـن المستحيل تقديمهم للعدالة عن جرائمهم. بلغت التكلفة الإجمالية لسرقة الهوية فـ ي عام 2020 رقماً قياسياً قدره 56 مليار دولار. مع الكثير مـن الأموال التي يمكن ربحها ، مـن الواضح أن سرقة الهوية والاحتيال لن يستمروا فـ ي أي مكان فـ ي أي وقت قريبًا.

تمثل كلمات المرور الضعيفة تهديدًا أمـنيًا كبيرًا للغاية. يمكن أن تسمح كلمات المرور السهلة وكلمات المرور المعاد استخدامها بالوصول غير المصرح به إلى الحسابات والاستيلاء عــل ى الحسابات وسرقة البيانات وأشكال أخرى مـن الهجمات الإلكترونية. فـ ي عينة مـن 10000 سجل ، ظهرت كلمة المرور 2921 مرة. يمكننا انظر أيضًا إلى العديد مـن حسابات المشرف الداخلية التي استخدمت كلمات مرور متشابهة جدًا وسهلة. نوصي بشدة أن تستخدم المؤسسات والمستخدمون عــل ى حد سواء كلمات مرور معقدة لأي حساب يحتوي عــل ى بيانات مستخدم حساسة. يجب أن يحتوي معيار الأمان لكلمة مرور قوية عــل ى 12 حرفًا عــل ى الأقل. هذه يجب أن يكون مزيجًا مـن الأحرف الكبيرة والصغيرة والأرقام وأن يتضمـن أي أحرف خاصة.

أسماء المستندات وأمـن الملفات

يمكن أن تمثل أسماء الصور أو الملفات أيضًا خطرًا عــل ى أمان البيانات.عادة ما تستخدم المؤسسات التي تجمع البيانات وتخزنها أرقام معرفات داخلية أو طرق أخرى لإخفاء أو إخفاء أي بيانات شخصية عــل ى أسماء الملفات أو أسماء المجلدات. هذه هي المرة الأولى التي أرى فـ يها كاملة الأسماء ورقمًا يسمى “SSN” فـ ي اسم الملف الفعلي. مـن الناحية النظرية ، لن يلزم فتح الملف لفضح البيانات الحساسة لأن اسم الملف وحده يحتوي عــل ى ما يبدو أنه PII (معلومات التعريف الشخصية).

خرق بيانات العامل الطبي

لقد أصاب وباء Covid 19 العاملين فـ ي مجال الرعاية الصحية بشدة بساعات طويلة والعديد مـنهم مرهقون جسديًا وعاطفـ يًا. تعاني المستشفـ يات فـ ي جميع أنحاء الولايات المتحدة مـن نقص فـ ي العاملين فـ ي مجال الرعاية الصحية. أي خدمة تسمح للمستشفـ يات بملء نوباتها تعتبر مهمة للغاية وقيمة المرضى المرضى: مـن المؤسف أن هذا الحادث قد يكون قد كشف عن بيانات العاملين فـ ي الخطوط الأمامية خلال وقت صعب بالفعل. كما أن المعلومات الخاصة للعاملين فـ ي مجال الرعاية الصحية والمتاحة للجمهور تشكل أيضًا خطر المضايقات غير المرغوب فـ يها أو الترهيب أو المطاردة عبر الإنترنت.

ليس مـن الواضح كم مـن الوقت تم الكشف عن قاعدة البيانات ومـن قد يكون قد تمكن مـن الوصول إلى السجلات المتاحة للجمهور. كما أنه مـن غير الواضح ما إذا كان العاملون الطبيون أو السلطات قد تم إخطارهم بالتعرض المحتمل كما هو مطلوب بموجب قانون فلوريدا لحماية المعلومات لعام 2014 (FIPA).

نحن لا نشير إلى أي مخالفات مـن قبل Gale Healthcare Solutions أو شركائها أو المستخدمين ، ونسلط الضوء عــل ى اكتشافنا لزيادة الوعي بحماية البيانات وتعزيز أفضل ممارسات الأمـن السيبراني. مهمتنا هي حماية البيانات المقيدة وتأمين المعلومات التي يتم الكشف عنها للجمهور. فـ ي غضون ساعات بعد إرسال إشعار إفصاح مسؤول إلى Gale Healthcare Solutions. لم نتلق أي رد مـن Gale Healthcare Solutions فـ ي وقت النشر. لا نقوم بتنزيل أو استخراج أي معلومات حساسة ونبذل قصارى جهدنا لحماية خصوصية أي أفراد يحتمل تأثرهم.