جلسات العلاج التي كشفت عنها قاعدة البيانات غير الآمنة لشركة رعاية الصحة العقلية
كشفت دراسة جديدة أن الآلاف من التفاصيل الصحية الحساسة للغاية للأشخاص، بما في ذلك جلسات العلاج الصوتية والمرئية، كانت متاحة بشكل مفتوح على الإنترنت. وتضمنت ذاكرة التخزين المؤقت للمعلومات المرتبطة بشركة رعاية صحية أمريكية أكثر من 120 ألف ملف وأكثر من 1.7 مليون سجل نشاط.
في نهاية شهر أغسطس، اكتشف الباحث الأمني جيريميا فاولر مجموعة المعلومات المكشوفة في قاعدة بيانات غير آمنة مرتبطة بمزود الخدمات الطبية الافتراضية Confidant Health. وتساعد الشركة، التي تعمل في خمس ولايات بما في ذلك كونيتيكت وفلوريدا وتكساس، في توفير التعافي من إدمان الكحول والمخدرات، إلى جانب علاجات الصحة العقلية وغيرها من الخدمات.
ضمن 5.3 تيرابايت من البيانات المكشوفة، كانت هناك تفاصيل شخصية للغاية حول المرضى تتجاوز جلسات العلاج الشخصية. تضمنت الملفات التي اطلع عليها فاولر تقارير متعددة الصفحات عن ملاحظات تناول الطب النفسي للأشخاص وتفاصيل التاريخ الطبي. يقول فاولر: “في الجزء السفلي من بعض الوثائق، كانت هناك عبارة “بيانات صحية سرية”.”
على سبيل المثال، يتضمن ملف الطب النفسي المكون من سبع صفحات، والذي يبدو أنه يعتمد على جلسة لمدة ساعة مع أحد المرضى، تفاصيل المشكلات المتعلقة بالكحول والمواد الأخرى، بما في ذلك كيف ادعى المريض أنه تناول “كميات صغيرة” من المخدرات من دار رعاية أجداده. العرض قبل وفاة أحد أفراد الأسرة. وفي وثيقة أخرى، تصف أم العلاقة “المثيرة للجدل” بين زوجها وابنها، بما في ذلك أنه بينما كان ابنها يستخدم المنشطات اتهم شريكها بالاعتداء الجنسي.
تتضمن الوثائق الصحية المكشوفة بعض الملاحظات الطبية عن مظهر الأشخاص ومزاجهم وذاكرتهم وأدويتهم وحالتهم العقلية العامة. يبدو أن أحد جداول البيانات التي شاهدها الباحث يسرد أعضاء Confidant Health، وعدد المواعيد التي أجروها، وأنواع المواعيد، والمزيد.
يقول فاولر: “هناك بعض الصدمات العائلية المؤلمة والمفجعة حقًا، والصدمات الشخصية”، مضيفًا أن بعض الملفات كانت عبارة عن تسجيلات صوتية ومقاطع فيديو لجلسات المرضى. “يشبه الأمر تقريبًا اكتشاف أعمق أسرارك المظلمة التي أخبرتها في مذكراتك، وهي أشياء لا ترغب أبدًا في الكشف عنها.”
يقول فاولر إنه إلى جانب الملفات الطبية الموجودة في قاعدة البيانات المكشوفة، كانت هناك وثائق الإدارة والتحقق، بما في ذلك نسخ من رخص القيادة وبطاقات الهوية وبطاقات التأمين. تحتوي السجلات أيضًا على مؤشرات تشير إلى أن بعض البيانات يتم جمعها بواسطة روبوتات الدردشة أو الذكاء الاصطناعي، مع الإشارة إلى المطالبات واستجابات الذكاء الاصطناعي للأسئلة.
ويقول إن شركة Confidant Health أغلقت بسرعة الوصول إلى قاعدة البيانات المكشوفة بعد أن اتصل فاولر بالشركة. يقول الباحث، الذي ينبه الشركات إلى البيانات المكشوفة ولا يقوم بتنزيل أي منها، إن نسبة من الملفات البالغ عددها 120 ألفًا التي تم كشفها كان بها شكل من أشكال الحماية بكلمة مرور. يقول فاولر إنه راجع حوالي 1000 ملف للتحقق من التعرض وتحديد مصدر البيانات حتى يتمكن من تنبيه الشركة. ويقول إنه من غير المعتاد أن تتضمن قاعدة البيانات المكشوفة ملفات مقفلة وغير مقفلة.
في تصريح لـ WIRED، قال جون ريد، المؤسس المشارك لشركة Confidant Health، إن الشركة تأخذ المخاوف الأمنية على محمل الجد و”تأخذ[s] مشكلة مع الطبيعة المثيرة “للنتائج. يقول ريد أنه بمجرد إخطار الشركة بـ “التكوين غير الصحيح”، تم “إصلاح الوصول إلى الملفات المكشوفة في أقل من ساعة”.