インドの何百万人もの人々が医療データの侵害に苦しんでいる可能性があります
TechCrunchが発行したニュースレポートによると、デリーに本拠を置くヘルスケアプロバイダーであり医療検査ラボであるDr. Lal PathLabsは、データベースに何ヶ月もギャップのある穴を残しました。公的にアクセス可能なデータベースは、何の保護もなく、何ヶ月も続いていました。
このラボは、インド全土で最大規模のラボの1つであり、推定7万人の患者が毎日サービスを受けています。もちろん、これは、国内で最大のCovid-19テストセンターの1つでもあることを意味します。
Dr. LalPathLabsはAmazonWeb Servicesストレージバケットに個人の患者データでいっぱいの大量のスプレッドシートを保持していたことが判明しましたが、保護もパスワードもありませんでした。つまり、事実上、誰でもすべてのレコードにアクセスできました。
漏洩データベースは、2020年9月に研究所に問題を報告したセキュリティ研究者Sami Toivonenによって発見されました。ToivonenのTechCrunchへのインタビューによると、漏洩ストレージへのアクセスは遮断されましたが、研究者は研究所からの返信を受け取りませんでした。
Toivonenによると、公開されたスプレッドシートに含まれるデータには、毎日の検査結果を含む数百万の個々の患者の記録が含まれていました。データベースに含まれる情報は、患者の名前、生年月日、自宅の住所、携帯電話番号、および実行されたさまざまなテストで構成されていました。これは、個人の健康状態に関する接線方向の情報源です。特定の患者に関する追加の詳細のいくつかは、彼らがCovid-19陽性であるかどうかについても述べています。
ラックスデータベースセキュリティに驚いた研究者
Toivonen氏は、この発見と、非常に大規模で機密性の高い個人情報を扱う組織が、膨大な量の患者の個人データを事実上完全に保護していないという事実に「驚かされた」と述べました。
TechCrunchが研究所に連絡したとき、彼らは調査が進行中であるという正式な回答を受け取ったが、研究所の代表者は他の質問に答えることはなく、インドの医療提供者が患者へのデータベース曝露に関する情報を開示するつもりかどうかについても言及しなかった。