NTreatment exponerar okrypterad patientdata

En säkerhetsincident som registrerades i slutet av 2020 avslöjade tusentals patientjournaler på grund av en dåligt säker databas.

Den läckande databasen upptäcktes av TechCrunch som informerade NTreatment - databasens ägare. Den läckande servern skyddades inte med ett lösenord. Dessutom lagrades posterna på den i okrypterat format och var öppna för visning för alla med en fungerande webbläsare.

Det finns ingen hård information om hur länge de exponerade posterna var offentligt tillgängliga. En del av informationen gör det dock klart att en del av dokumenten tillhör barn. Det fanns totalt cirka 110 tusen filer på den oskyddade servern.

Liknande säkerhetsincidenter inträffar mer eller mindre dagligen och har varit så frekventa i flera år. Det finns inget som slutanvändaren kan göra med den här typen av problem och det enda som kan förhindra liknande framtida läckage är noggrann säkerhetsutbildning av anställda som hanterar liknande information.

Den enda försiktighetsåtgärd som vanliga människor kan vidta mot liknande läckor är att använda olika lösenord för alla tjänster eller webbplatser de använder. Detta skyddar emellertid inte dem från deras fullständiga namn eller telefonnummer och annan personlig identifierbar information som läcker från oskyddade databaser.

En stor del av problemet här är att denna oföränderliga information som kommer att förbli giltig i flera år när det gäller ett telefonnummer, eller till och med för alltid, när det gäller ett fullständigt namn.

I ett officiellt uttalande sade NTreatment att företaget använde den osäkra servern för "lagring för allmänt ändamål" och gav ingen specifik information om hur länge filerna exponerades för allmän visning och åtkomst.