一家健康科技公司在安全證書失效導(dǎo)致服務(wù)器沒有密碼后，每天泄漏數(shù)千張醫(yī)生藥方、醫(yī)療記錄和處方。這家名不見經(jīng)傳的軟件公司來自加利福尼亞州的Meditab，自稱是醫(yī)院、醫(yī)生辦公室和藥房領(lǐng)先的電子醫(yī)療記錄軟件制造商之一。該公司為醫(yī)療保健提供商處理電子傳真，仍然是將患者文件共享給其他提供商和藥房的主要方法。

但據(jù)發(fā)現(xiàn)數(shù)據(jù)的安全公司稱，該傳真服務(wù)器沒有得到妥善保護(hù)。總部位于迪拜的網(wǎng)絡(luò)安全公司SpiderSilk告訴TechCrunch遭泄露的服務(wù)器。自2018年3月創(chuàng)建以來，公開的傳真服務(wù)器運(yùn)行的Elasticsearch數(shù)據(jù)庫擁有超過600萬條記錄。

由于服務(wù)器沒有密碼，任何人都可以實(shí)時(shí)讀取傳輸?shù)膫髡?包括其內(nèi)容。

根據(jù)對數(shù)據(jù)的簡要回顧，傳真包含大量個人身份信息和健康信息，包括醫(yī)療記錄、醫(yī)生藥方、處方數(shù)量和數(shù)量，以及疾病信息等。傳真還包括姓名、地址、出生日期，在某些情況下還包括社會安全號碼和健康保險(xiǎn)信息以及支付數(shù)據(jù)。

傳真還包括有關(guān)兒童的個人數(shù)據(jù)和健康信息。沒有數(shù)據(jù)被加密。

在傳真服務(wù)器上找到兩份泄露的文件。（圖片來源：TechCrunch）

該服務(wù)器托管于MedPharmServices的子域，MedPharmServices是總部位于波多黎各的Meditab的一家分支機(jī)構(gòu)，由KalpeshPatel創(chuàng)立。MedPharm作為一家獨(dú)立的公司在圣胡安被分拆出來，以便為那些在島上開展業(yè)務(wù)的人提供減稅優(yōu)惠。

TechCrunch通過聯(lián)系幾位從傳真中確認(rèn)其詳細(xì)信息的患者來驗(yàn)證記錄。

Patel表示，關(guān)于安全證書失效問題，該公司正在“調(diào)查問題以確定問題和解決方案”。“我們?nèi)栽趯彶槲覀兊娜罩竞陀涗洠圆榭慈魏螡撛陲L(fēng)險(xiǎn)的范圍，”該公司總法律顧問AngelMarrero在一封電子郵件中說。

我們詢問該公司是否計(jì)劃通知監(jiān)管機(jī)構(gòu)和客戶。Marrero表示，該公司“將遵守現(xiàn)行聯(lián)邦和州法律法規(guī)規(guī)定的任何及所有必要通知（如適用）。”

Meditab和MedPharm都聲稱符合HIPAA，即《美國健康保險(xiǎn)流通與責(zé)任法案》，該法案管理醫(yī)療服務(wù)提供者如何正確管理患者的數(shù)據(jù)安全。

泄露數(shù)據(jù)或違法的公司可能面臨巨額罰款。

去年是“創(chuàng)紀(jì)錄”罰款的一年-幾次暴露和違規(guī)行為約為2500萬美元，其中包括對德克薩斯大學(xué)無意中披露加密個人健康數(shù)據(jù)的430萬美元罰款，費(fèi)森尤斯的解決方案為350萬美元。五個不同的違規(guī)行為。

美國衛(wèi)生和公共服務(wù)部的發(fā)言人沒有發(fā)表評論。