200.000 hồ sơ y tế tại Mỹ có thể đã bị rò rỉ bởi tin tặc

Theo một nhà phân tích, cơ sở dữ liệu (CSDL) chứa hồ sơ y tế của gần 200.000 cựu binh Mỹ đã bị lộ trực tuyến bởi một nhà cung cấp làm việc cho cơ quan Cựu chiến binh (Veterans Administration - VA), người này cũng đưa ra bằng chứng cho thấy dữ liệu có thể đã bị lấy cắp bởi những kẻ tấn công ransomware.

Các tập tin lần đầu tiên được phát hiện bi lộ vào ngày 18/4 bởi nhà nghiên cứu Jeremiah Fowler, người đã tìm thấy CSDL này được hiển thị trực tuyến và thậm chí còn không có mật khẩu bảo vệ cơ bản. 

Fowler cho biết, các tệp tin đều tham chiếu đến United Valor Solutions. Đây là một công ty có trụ sở tại Bắc Carolina (Mỹ) - chuyên cung cấp các dịch vụ đánh giá tình trạng khuyết tật cho VA và các cơ quan liên bang và tiểu bang khác.

Các dữ liệu bị lộ bao gồm tên bệnh nhân, ngày tháng năm sinh, thông tin y tế, thông tin liên lạc, thậm chí cả thông tin bác sĩ và thời gian hẹn khám hay tái khám, tất cả chúng đều có thể được sử dụng trong các cuộc tấn công được thiết kế trên giao tiếp mạng xã hội, Fowler giải thích. CSDL cũng tiết lộ mật khẩu không được mã hóa và chi tiết các hoá đơn thanh toán.

"CSDL nói trên đã được thiết lập để mở và hiển thị trong bất kỳ trình duyệt nào (có thể truy cập công khai), bất kỳ ai cũng có thể chỉnh sửa, tải xuống hoặc thậm chí xóa dữ liệu mà không cần thông tin đăng nhập," Fowler nói về phát hiện của ông.

Ông nói thêm: "Phát hiện này là nhạy cảm khi chiếu theo các nội dung của HIPAA, và thực tế đây là những cựu chiến binh đang cố gắng để có thể nhận được trợ cấp khuyết tật".

Cần phải nói thêm HIPAA là một đạo luật của Mỹ, thiết lập các quy tắc về những người có thể xem và tiếp nhận thông tin sức khỏe của ai đó. Luật này cho phép ai đó có quyền đối với các thông tin sức khỏe của mình và khi nào thì các thông tin này được chia sẻ.

Sau khi Fowler tiết lộ những phát hiện nói trên cho United Valor, công ty đã thông báo cho các nhà thầu, và họ đã đóng quyền truy cập dữ liệu công khai này ngay lập tức.