ZDNet获悉,由印度政府医疗机构管理的数据库没有密码就可以连接到互联网,该数据库暴露了超过1,250万条孕妇的医疗记录。
记录可以追溯到五年,到2014年,其中包括针对未出生婴儿进行超声扫描,羊膜穿刺术或其他基因检测的女性的详细医学信息。
数据库的所有者
该数据库属于印度北部某州的医疗,健康和家庭福利部。ZDNet避免命名该州。
原因是没有密码,数据库仍然可以在线使用。好消息是,病历已从数据库中删除。但是,删除这些记录并不是一件容易的事,并且使它们脱机花费了三个多星期。
该数据库 发现 鲍勃Diachenko,一个安全研究人员的网络安全咨询公司保安发现,在2019年三月初。
研究人员最初对服务器进行保护的尝试未成功。由于数据的性质,研究人员联系了ZDNet寻求帮助,但是我们与政府机构联系的努力同样没有结果。
该数据库最终在印度计算机紧急响应小组(CERT)的帮助下得到了保护,但是整个过程花了三周的时间,在此期间,服务器和医疗记录仍然可供任何人下载。
该政府机构上个月3月29日星期五保护了泄漏的服务器。由于MongoDB服务器仍在网上公开,揭示了其他机构的运作情况,因此ZDNet决定避免命名印度,以防止进一步滥用其系统。
公开数据的敏感性
但是,泄漏的数据库不仅包含一些通用的医疗记录。暴露的医学信息与《成年前和产前诊断技术法》(PCPNDT)有关,这是印度于1994年通过的一项法律,该法禁止确定产前性别,以防止印度家庭流产未出生的女孩并歪曲性别比例。对男性。
根据该法律,在印度,任何可能显示未出生婴儿性行为的医学检查都必须仅出于合法的医学原因进行,并且必须记录所有检查以及执行这些检查的原因。
迪亚琴科发现的泄漏数据库一直保存着可追溯到2014年的医疗表格的数字化版本(表格F)。
德里的Gangaram爵士医院的居民Krishna Shah博士在接受ZDNet采访时,解释了F表格的作用,如果将此类信息在线暴露,将被视为严重的隐私问题。
Shah博士对ZDNet表示:“每位孕妇在拜访妇科医生或放射科医生时,都要接受USG,羊膜穿刺术或任何基因检测,都必须填写F表格。”
“除患者的详细信息外,双方均在表格上声明,已进行了测试以发现婴儿的性别,而堕胎并非由于性别歧视所致,这是Pre .... -构想和产前诊断技术法案旨在实现。”
就像Shah博士告诉ZDNet一样,这些表格的数字化版本中存储的信息包括大量的个人和医疗记录,例如患者的姓名,父亲的姓名,患者的地址,她的年龄,电话号码,诊断和疾病信息,妊娠状况,妊娠并发症,患者所经历的程序,进行USG /羊膜穿刺术/基因检测的中心,检测日期,检测结果,检测结果的接收者,有关转诊的信息医生等。
除了750万个F表格的数字化版本外,数据库还包含其他PCPNDT相关表格的500万个数字化版本,例如A表格,D表格,E表格和G表格,其中包含类似的医学数据。
该数据库还存储了有关超声仪和其他医疗设备所拥有的医生和医疗中心的数据,这些设备本来可以用来确定未出生婴儿的性别。
此外,服务器还包含针对医生和医疗中心的投诉,以及有关医生和医疗中心进行性别确定测试的举报报告。这些举报者举报的例子如下:
亲爱的[删除]先生,诊断中心[删除]正在每天从超声波分娩前进行性别确定,并在大约3-4千美元附近收了好钱...请先生采取行动...
[已编辑]有一些性别选择营,由比约瑙尔的一些人组织。
在[删除]的帮助下,一名名为[删除]的工作人员护士参与了女性杀人案件。我有很多人在CMO办公室和DM办公室抱怨她,但他没有采取任何行动。她于2014年26月27日堕胎,这也是女性杀人案,我对此罪行提出了申诉,但结果无效。
一个单独的数据库显示了其中一些用户报告的进度,并包含有关一些投诉的法律状态的信息,这些投诉在政府调查后已提交法院。
Shah博士补充说:“尽管该表格是《孕前和产前诊断技术法》的基础,但如果患者的个人详细信息未在互联网上受到保护,这是一个令人关注的问题。”
将此类敏感信息保留在无密码的MongoDB服务器中类似于破坏医患的机密性。
虽然该数据库未包含有关在未命名的印度州内记录的所有怀孕的信息,但确实包含了患有妊娠并发症和流产的妇女的病历,由于明显的原因,一些家庭希望保持私密性。