استارتاپ Lyfebin که در حوزه سلامت و مراقبتهای بهداشتی فعالیت دارد، هزاران فایل تصویری پزشکی همچون عکسهای اشعه ایکس، اسکن MRI و سونوگرافی را افشا کرد.
طبق آن چه که در وب سایت این استارتاپ لسآنجلسی نوشته شده است، این استارتاپ امکان ذخیره عکسهای پزشکی را در «محیط امن» خود برای پزشکان و کادر پزشکی فراهم کرده بود تا بتوانند از هر جایی به آن دسترسی پیدا کنند؛ اما مشخص شده که این فایلها به صورت محافظت نشده و بدون داشتن رمز عبور، در باکت ذخیره اطلاعات Amazon Web Services (به اختصار AWS) ذخیره شدهاند و هر شخصی که آدرس آن را داشته باشد (که به راحتی قابل حدس زدن است) میتواند به دادهها دسترسی پیدا کند.
این فایلها مربوط به سپتامبر 2018 تا اکتبر 2019 هستند و پس از اعلام موضوع به Lyfebin، این استارتاپ دادهها را ایمنسازی کرد.
این مخزن اطلاعاتی افشا شده، حاوی بیش از 93 هزار فایل اسکن پزشکی است که البته خیلی از آنها دو بار ذخیره شدهاند. این فایلها با فرمت DICOM ذخیره شده بودند که یکی از انواع فایلهای پرکاربرد در تجهیزات تصویربرداری پزشکی محسوب میشود. همچنین هر فایل علاوه بر عکسهای اسکن پزشکی، شامل دادههای دیگری مثل تاریخ تولد بیمار و نام پزشک نیز بوده است.
اگر چه این استارتاپ در اعلام تعداد بیمارانی که تحت تأثیر این نشت اطلاعاتی قرار گرفتهاند، خودداری کرده است ولی با این حال یکی از سخنگویان شرکت ادعا کرده که این باکت در واقع یک محیط آزمایشی بوده و در آن از حسابهای کاربری و اطلاعات جعلی برای آزمایش امکانات جدید استفاده شده است. با وجود این ادعا، وی تاکنون هیچگونه شواهدی را برای اثبات ادعای خود ارایه نکرده است.
این سخنگو که نام آن مشخص نشده، افزود: «وقتی ما اطلاعات بیماران را وارد سرورها میکنیم، تمام اطلاعات قابل شناسایی حذف میشوند. هیچ یک از اطلاعات بیماران افشا نشده است».
به نظر میرسد که خیلی از فایلها تا حدی ناشناس ماندهاند ولی شواهدی از اطلاعاتی که میتوانند با هویت افراد مرتبط باشند، پیدا شده است؛ از جمله نام پزشک، سن و تاریخ تولد بیمار. یکی از فایلهای پیدا شده، حاوی نام بیمار هم بوده و اطلاعات قابل شناسایی کافی برای جستجوی فرد مورد نظر با استفاده از رکوردهای عمومی را داشته است. وقتی با این فرد تماس گرفته شد وی گفت تاریخ اسکن را به خاطر ندارد.
سخنگوی این شرکت میگوید که این دادهها حاوی «اطلاعات جعلی از بیماران» بوده و خبرنگار سایت TechCrunch را تهدید به شکایت کرد و گفت: «در صورت انتشار این مقاله، تیم ما آن را بررسی میکند و اگر اطلاعاتی خلاف واقع در آن درج شده باشد با استفاده حداکثری از قوانین قابل اعمال از TechCrunch شکایت خواهیم کرد».
Lyfebin به سؤالهای دیگر از جمله مدت زمان افشای این باکت اطلاعاتی پاسخ نداد. این شرکت مشخص نکرده است که آیا قصد اطلاعرسانی به مشتریان خود درباره این خطای امنیتی را دارد یا این که طبق قانون، حادثه را به مقامهای امنیتی گزارش میدهد یا خیر.