В сети оказалась база данных скорой помощи нескольких городов Подмосковья. В открытом доступе оказались имена, адреса и телефоны пациентов, а также данные о состоянии их здоровья. Это не первый случай утечки персональных данных за последнее время.
О документ объемом 17,8 Гбайт, выложенном на файлообменник, пишет РБК. Он содержит данные подстанций скорой помощи в Мытищах, Дмитрове, Долгопрудном, Королеве, Балашихе.
Руководитель группы исследования сложных угроз компании Group-IB Анастасия Тихонова не удивилась утечке базы, ведь, по ее словам, она и так находилась практически в открытом доступе и не требовала авторизации или любых других настроек безопасности.
«Существуют различные специализированные поисковики, которые показывают доступные базы данных, к которым можно подключиться, — пояснила Тихонова. — Многие хакерские группы или исследователи сканируют адреса и ищут подобные открытые базы данных (как Mongo). Мало того, что это не слишком этично, но зачастую весьма рискованно. Опасность в том, что после утечки и обнародования подобных баз этими данными могут воспользоваться злоумышленники».
Данные хранились на открытом облачном сервере, который забыли защитить паролем. Утечка произошла через систему управления базами данных MongoDB с открытым исходным кодом. В компании считают, что к распространению базы причастна украинская группа THack3forU. Хактивисты (активисты, использующие взлом компьютерных сетей для продвижения идеологии свободы слова и политических свобод), по видимому, хотели таким образом привлечь к себе внимание.
Из оказавшихся обнародованными данных можно узнать имя вызвавшего скорую помощь, его контактный телефон, адрес, дату и время вызова, а также описание состояния пациента по прибытию врачей.
«В данном случае налицо сразу несколько нарушений — ФЗ-152 «О персональных данных», приказа ФСТЭК №21, постановления правительства 1119, постановления правительства 687 и методических рекомендаций для медицинских учреждений, — отмечает руководитель департамента системных решений Group-IB Антон Фишман. — Тот факт, что в данном случае используется система, в которой все данные открыты и хранятся не в России, показывает, что и ее разработка и приемка не учитывали требования законодательства».
Роскомнадзор проведет расследование об утечке базы данных пациентов. Стоит отметить, что это не первый скандал, связанный с утечкой данных, за последнее время. В начале месяца в Интернет слили персональные данные 3 тысяч участников «прямого разговора» с главой Забайкалья. Жалобу также подали в Роскомнадзор.
Недавно в Липецкой области из-за небрежности сотрудников управления здравоохранения региона медицинские данные пациентов также оказались в открытом доступе: имена, адреса и диагнозы ведомство опубликовало на сайте госзакупок при объявлении аукционов. По данному факту областная прокуратура организовала проверку. О проведении проверок также сообщили территориальный орган Росздравнадзора и управление здравоохранения Липецкой области.
