NTreatment eksponerer ukrypterede patientdata

En sikkerhedshændelse, der blev registreret i slutningen af 2020, afslørede tusindvis af patientjournaler på grund af en dårligt sikret database.

Den utætte database blev set af TechCrunch, der informerede NTreatment - ejerne af databasen. Den utætte server var ikke beskyttet med en adgangskode. Hvad mere er, optegnelserne indeholdt i den blev gemt i et ukrypteret format og var åbne til visning for alle med en fungerende browser.

Der er ingen hårde oplysninger om, hvor længe de eksponerede poster var offentligt tilgængelige. Imidlertid gør nogle af oplysningerne det klart, at en del af optegnelserne tilhører børn. Der var i alt omkring 110 tusind filer på den ubeskyttede server.

Lignende sikkerhedshændelser sker mere eller mindre dagligt og har været så hyppige i årevis. Der er intet, som slutbrugeren kan gøre ved denne slags spørgsmål, og det eneste der kan forhindre lignende fremtidige lækager er streng sikkerhedstræning af medarbejdere, der håndterer lignende oplysninger.

Den eneste forholdsregel, som almindelige mennesker kan tage mod lignende lækager, er at bruge forskellige adgangskoder til enhver tjeneste eller et websted, de bruger. Dette vil dog ikke beskytte dem mod deres fulde navne eller telefonnumre og andre personligt identificerbare oplysninger, der lækker fra ubeskyttede databaser.

En stor del af problemet her er, at disse uforanderlige oplysninger, der forbliver gyldige i årevis i tilfælde af et telefonnummer eller endda for evigt i tilfælde af et fuldt navn.

I en officiel erklæring sagde NTreatment, at virksomheden brugte den usikrede server til "almindelig lagring" og ikke leverede nogen specifik information om, hvor længe filerne blev eksponeret til offentlig visning og adgang.