تسريب أكثر من 1.7 مليون سجل علاج للمرضى الأمريكيين على الإنترنت
تسربت ملفات تعريف نفسية وجلسات علاج لآلاف المرضى، بما في ذلك ملفات صوتية ومرئية وحتى رخص قيادة، إلى شبكة الإنترنت المفتوحة، حيث تم ترك أكثر من 1.7 مليون سجل نشاط، تتألف مما يقدر بنحو 5.3 تيرابايت من بيانات الصحة العقلية، مكشوفة على الإنترنت من جانب شركة الرعاية الصحية الناشئة Confidant Health.
وفقا لما ذكرته صحيفة “ديلى ميل” البريطانية، تركت الشركة التي يقع مقرها في أوستن، والتي وعدت ببناء “الجيل القادم من الرعاية الافتراضية” لأولئك الذين يسعون إلى علاج الإدمان والعلاجات السلوكية الأخرى، معلومات سرية لمرضاها مكشوفة عبر “قاعدة بيانات غير محمية بكلمة مرور”.
يأتي هذا الخلل الشديد في الخصوصية وسط صيف من التسريبات الكارثية، بما في ذلك “RockYou2024″، والذي كشف عن 10 مليارات كلمة مرور لمجرمي الإنترنت، وخرق هائل لأرقام الضمان الاجتماعي الأمريكية.
ومنذ تأسيسه في عام 2018، تم تنزيل تطبيق Confidant Health، المتوفر عبر iOS وAndroid، أكثر من 10000 مرة في متجر Google Play.
تقدم الشركة حاليًا خدمات سريرية للمرضى في كونيتيكت ونيوهامبشاير وفيرجينيا وتكساس وفلوريدا.
قال جيريميا فاولر، الباحث في مجال الأمن السيبراني الذي اكتشف الاختراق المذهل لخصوصية المرضى، إن ملفات الصوت والفيديو تحتوي على “بعض الصدمات العائلية المؤلمة حقًا والصدمات الشخصية”.
وتابع: “إنه يشبه تقريبًا الكشف عن أعمق أسرارك المظلمة التي سجلتها فى مذكراتك”، مؤكدا “أنها أشياء لا تريد أبدًا الكشف عنها”.
ولأسباب تتعلق بالأخلاق المهنية، قال فاولر إنه لم يقم بتنزيل أي من المعلومات الطبية الخاصة، كما أنه لم يحاول الوصول إلى قواعد البيانات المحمية بكلمة مرور، لكنه أشار إلى أن أحد المتسللين سيقوم بذلك بسرعة.
وأوضح الباحث أن “مجرمي الإنترنت لديهم مجموعة من الأدوات تحت تصرفهم بما في ذلك هجمات القوة الغاشمة ومحاولات الهندسة الاجتماعية التي قد تؤدي إلى الوصول غير المصرح به إلى تلك الملفات والمستندات المحمية”.
وأفاد فاولر أنه لاحظ مستندات للمرضى مرئية للعامة كانت بوضوح ملاحظات تناول العلاج النفسي، وتقييمات تفصل آراء المهنيين الطبيين حول الصحة العقلية للمرضى، وإدمان المخدرات، والقضايا الأسرية، والتاريخ النفسي والمزيد.
ولكن هذه البيانات الطبية الخاصة كانت مجرد جانب واحد من الاختراق، حيث تضمنت العديد من الملفات الأخرى أيضًا سجلات مخزنة لأغراض إدارية وتحققية، مثل رخص القيادة وبطاقات الهوية الصادرة عن الدولة وبطاقات التأمين.
وبموجب قانون نقل التأمين الصحي والمساءلة في الولايات المتحدة (HIPAA)، يتعين على المهنيين الطبيين والشركات والمنظمات اتخاذ تدابير مفصلة للحفاظ على خصوصية معلومات الصحة المحمية (PHI) لعملائهم.