Lyfebin و افشای عکس‌های پزشکی

استارتاپ Lyfebin که در حوزه سلامت و مراقبت‌های بهداشتی فعالیت دارد، هزاران فایل تصویری پزشکی همچون عکس‌های اشعه ایکس، اسکن MRI و سونوگرافی را افشا کرد.
طبق آن چه که در وب سایت این استارتاپ لس‌آنجلسی نوشته شده است، این استارتاپ امکان ذخیره عکس‌های پزشکی را در «محیط امن» خود برای پزشکان و کادر پزشکی فراهم کرده بود تا بتوانند از هر جایی به آن دسترسی پیدا کنند؛ اما مشخص شده که این فایل‌ها به صورت محافظت نشده و بدون داشتن رمز عبور، در باکت ذخیره اطلاعات Amazon Web Services (به اختصار AWS) ذخیره شده‌اند و هر شخصی که آدرس آن را داشته باشد (که به راحتی قابل حدس زدن است) می‌تواند به داده‌ها دسترسی پیدا کند.
این فایل‌ها مربوط به سپتامبر 2018 تا اکتبر 2019 هستند و پس از اعلام موضوع به Lyfebin، این استارتاپ داده‌ها را ایمن‌سازی کرد.
این مخزن اطلاعاتی افشا شده، حاوی بیش از 93 هزار فایل اسکن پزشکی است که البته خیلی از آنها دو بار ذخیره شده‌اند. این فایل‌ها با فرمت DICOM ذخیره شده بودند که یکی از انواع فایل‌های پرکاربرد در تجهیزات تصویربرداری پزشکی محسوب می‌شود. همچنین هر فایل علاوه بر عکس‌های اسکن پزشکی، شامل داده‌های دیگری مثل تاریخ تولد بیمار و نام پزشک نیز بوده است.
اگر چه این استارتاپ در اعلام تعداد بیمارانی که تحت تأثیر این نشت اطلاعاتی قرار گرفته‌اند، خودداری کرده است ولی با این حال یکی از سخنگویان شرکت ادعا کرده که این باکت در واقع یک محیط آزمایشی بوده و در آن از حساب‌های کاربری و اطلاعات جعلی برای آزمایش امکانات جدید استفاده شده است. با وجود این ادعا، وی تاکنون هیچ‌گونه شواهدی را برای اثبات ادعای خود ارایه نکرده است.

یکی از عکس‌های پیدا شده در باکت افشا شده

این سخنگو که نام آن مشخص نشده، افزود: «وقتی ما اطلاعات بیماران را وارد سرورها می‌کنیم، تمام اطلاعات قابل شناسایی حذف می‌شوند. هیچ یک از اطلاعات بیماران افشا نشده است».
به نظر می‌رسد که خیلی از فایل‌ها تا حدی ناشناس مانده‌اند ولی شواهدی از اطلاعاتی که می‌توانند با هویت افراد مرتبط باشند، پیدا شده است؛ از جمله نام پزشک، سن و تاریخ تولد بیمار. یکی از فایل‌های پیدا شده، حاوی نام بیمار هم بوده و اطلاعات قابل شناسایی کافی برای جستجوی فرد مورد نظر با استفاده از رکوردهای عمومی را داشته است. وقتی با این فرد تماس گرفته شد وی گفت تاریخ اسکن را به خاطر ندارد.
سخنگوی این شرکت می‌گوید که این داده‌ها حاوی «اطلاعات جعلی از بیماران» بوده و خبرنگار سایت TechCrunch را تهدید به شکایت کرد و گفت: «در صورت انتشار این مقاله، تیم ما آن را بررسی می‌کند و اگر اطلاعاتی خلاف واقع در آن درج شده باشد با استفاده حداکثری از قوانین قابل اعمال از TechCrunch شکایت خواهیم کرد».
Lyfebin به سؤال‌های دیگر از جمله مدت زمان افشای این باکت اطلاعاتی پاسخ نداد. این شرکت مشخص نکرده است که آیا قصد اطلاع‌رسانی به مشتریان خود درباره این خطای امنیتی را دارد یا این که طبق قانون، حادثه را به مقام‌های امنیتی گزارش می‌دهد یا خیر.

خروج از نسخه موبایل