患者的健康信息是否进入GitHub的北极代码库?

2021-04-04 23:10:25

- 根据安全研究员Jelle ursem和Databreaches.net的异议报告,捕获来自多个提供商的患者数据,并随后在数据存储库Github北极代码库上泄露了第三方供应商Meddata。

Meddata为医疗保健系统和医院提供收入周期服务,包括医疗补助资格,第三方责任,工人赔偿和患者计费服务。

在北极代码值中发现了数据,该值是一个开源的公共数据存储库,在长期的档案设施中,设计用于持续高达1000年。通过他的研究,ursem检测到与单个开发人员相关的受保护的健康信息的Trovers。

大多数数据似乎是来自多个提供商的声明数据,或电子数据交换(EDI),其指向从第三方串行的数据。进一步的分析发现数据属于医疗保健商业助理Meddata。

Meddata在12月初的事件通知,但乌尔萨姆和异议没有收到答复,直到几周和多次失败的尝试稍后。然后提供供应商的链接到泄露PHI的存储库。

该数据库于12月17日被删除。Meddata最近发布了一段通知,详细介绍了涉及向供应商提供的信息进行处理服务的信息。

通知确认Meddata通过Ursem和12月初的异议联系,通知供应商与其客户联系的患者数据已上传到公共网站。

启动内部调查以验证索赔。官员发现,员工将文件保存到2018年12月至2019年12月在雇佣期间在2018年12月至2019年9月期间创建的个人文件夹。

在发现时,Meddata于2020年12月17日从公共场所移除了该数据库。官员表示,他们与第三方网络安全公司签订了审查文件以确定受影响的PHI和患者联系信息。

受影响的数据包括患者姓名与一个或多个数据元素组合,例如订户ID,社会安全号码,诊断,条件,声明数据,服务日期,医疗程序代码,保险策略编号,提供商名称,联系方式和日期出生。

该活动受到影响的涵盖实体于2021年2月8日通知,而卫生和人类服务部及患者于3月31日获悉该事件。

到目前为止,至少有五个涵盖的实体发出了自己的违约通知:国王的女儿卫生系统,OSF医疗保健,阿司匹查,Uchicago医学和纪念赫尔曼卫生系统。

根据通知,Meddata继续与外部安全缔约方合作,确认已删除和物理销毁的事件所绑定的所有数据,以及确定数据是否已与其他人共享。

Uchicago通知官员正在审查与MedData的关系,以确保供应商的安全措施与卫生系统一致。

这是URSEM和Instens在过去六个月内泄露患者数据的核查库的第二次报告。 8月,他们报告说,至少九个GitHub储存库利用不当的访问控制泄露了超过150,000至200,000名患者的数据。数据属于多个提供商。

事件突出了供应商管理的重要性,确保安全策略的必要性对齐。以前的报告显示了大约三分之一的医疗保健数据库,存储在云中,甚至是本地,正在在线积极泄露数据。

医疗实体应继续评估与商业伙伴和其他相关供应商的关系,以保护这些类型的数据泄漏,特别是在最近的供应链事件中。

安全研究人员强调第三方关系需要持续的审查,在缔约阶段开始,并以年度风险评估结束。强大的商业助理协议不仅有助于HIPAA合规性,该合同还可以在保护PHI的隐私和安全性时概述实体所允许和所要求的。