SkillUp/Shutterstock Hygiejne sundhed (Licenseret) remix af Jason Reed

EKSKLUSIVT: Brystpumpefirma efterlader millioner af dokumenter afsløret - hvilket giver anledning til bekymring over datasikkerhed i kvinders sundhedspleje

Mindst 7 millioner dokumenter blev afsløret.

En brystpumpeproducent gemmer millioner af dokumenter på en åben server, der inkluderer navne, e-mailadresser og telefonnumre på læger i hele USA.

Det californiske medicinske firma, som Daily Dot afviser at navngive, tilbyder adskillige modeller af brystpumper samt henvisninger til kunder, der søger personlig støtte fra 'betroede eksperter' inden for amning.

Serveren, opdaget af Anurag Sen , en cloud-sikkerhedsforsker med CloudDefense.AI , drives af Amazons cloud computing-tjeneste og indeholder cirka 7.151.537 dokumenter i alt.

Dokumenterne, opdelt mellem to separate databaser, indeholder de fulde navne, forretningsadresser, faxnumre og telefonnumre på læger. National Provider Identifier (NPI)-numre, unikke 10-cifrede identifikatorer udstedt til sundhedsudbydere i USA, er også til stede.

I bemærkninger til Daily Dot udtalte Sen, at han stødte på den udsatte server, mens han brugte sit firmas interne værktøjer til at overvåge datalækager. Sikkerhedsproblemet, tilføjede Sen, ser ud til at være forårsaget af en konfigurationsfejl, der efterlod serveren afsløret uden adgangskodebeskyttelse.

Selvom meget af informationen kunne findes offentligt, er det stadig usandsynligt, at de anførte er klar over, at deres oplysninger er centralt tilgængelige i en database af den størrelse. Et tidsstempel på en af ​​fortegnelserne bemærker, at den blev lavet i juli 2020.

The Daily Dot nåede ud til et nummer på listen, der foregav at tilhøre en læge i Florida og bekræftede, at det var nøjagtigt. Efter at have informeret en sekretær om årsagen bag opkaldet, blev Daily Dot hurtigt lagt på.

Sen siger, at selv om han kontaktede virksomheden den 11. marts for at informere dem om sikkerhedsbortfaldet, reagerede virksomheden ikke. The Daily Dot nåede ud over en kontaktformular på sin hjemmeside og på en kundeservice-e-mail i sidste uge, men modtog heller ikke et svar.

The Daily Dot afviser at navngive virksomheden, da dataene stadig er tilgængelige fra offentliggørelsen.

Efter at have nået en kundeservicemedarbejder over telefonen, fik Daily Dot besked på endnu en gang at sende en e-mail til virksomheden, som derefter ville blive videresendt til den relevante part. Efter at have fået en hel uge til at svare, blev der aldrig taget kontakt.

Den pseudonyme blogger Dissent Doe, en autoriseret sundhedsprofessionel, der skildrer sådanne dataeksponeringer på DataBreaches.net, spekulerede over for Daily Dot, at dataene enten kunne være en kundeliste eller marketingliste.

Bloggeren bemærkede også, at selvom eksponeringen sandsynligvis ikke vil forårsage nogen væsentlig skade, kan virksomheden potentielt 'miste enhver konkurrencefordel, hvis deres kontaktliste blev erhvervet af konkurrenter.'

'For så vidt angår misbrug af data, har jeg lært ikke at undervurdere, hvad kreative kriminelle kan gøre med information, så det faktum, at jeg ikke ville se noget særligt ondt andet end spamming, gør det ikke
betyder, at kloge kriminelle ikke kan finde ud af en måde at misbruge det på,« sagde de.

Selvom eksponeringen af ​​dataene måske ikke i sig selv er farlig, er undladelsen af ​​at implementere grundlæggende sikkerhedsforanstaltninger af en sundhedsvirksomhed, der markedsføres over for kvinder, bekymrende. Virksomheder, der håndterer data relateret til kvinders sundhedspleje og graviditet, er blevet mere undersøgt i løbet af det seneste år efter væltningen af Roe v. Wade , efterhånden som frygten vokser for, at stater, der forbyder abort, kan bruge følsomme data til at hjælpe med at retsforfølge abortsøgende.