Tech

การละเมิดข้อมูลตัวติดตามสุขภาพจำนวนมากมีผลกระทบต่อสหราชอาณาจักร

การรั่วไหลของฐานข้อมูลผู้ใช้อุปกรณ์ติดตามสุขภาพ 61 ล้านคนรวมถึงบันทึกเกี่ยวกับบุคคลที่อยู่ในสหราชอาณาจักร

โดย

  • อเล็กซ์ สครอกซ์ตัน ตัวแก้ไขความปลอดภัย
  • เผยแพร่เมื่อ: 14 ก.ย. 2564 14:13 น.

    การรั่วไหลของฐานข้อมูลของบันทึกของผู้ใช้ Apple HealthKit และ Google FitBit บริการต่างๆ ควบคู่ไปกับผลิตภัณฑ์เครื่องติดตามฟิตเนสยี่ห้ออื่นๆ ได้เน้นย้ำถึงความสำคัญที่สำคัญของการรักษาความปลอดภัยฐานข้อมูลขององค์กรอีกครั้ง และสามารถรองรับผู้คนได้มากกว่า 61 ล้านคน – รวมถึงหมายเลขที่ไม่รู้จักในสหราชอาณาจักร – เสี่ยงต่อการประนีประนอมโดย อาชญากรไซเบอร์ที่ฉวยโอกาส .

    ฐานข้อมูล 16.7GB ที่ไม่ปลอดภัยซึ่งถูกเปิดเผยต่ออินเทอร์เน็ตสาธารณะโดยไม่มีการป้องกันด้วยรหัสผ่านถูกค้นพบโดย เว็บไซต์ Planet และนักวิจัยด้านความปลอดภัย Jeremiah Fowler และ GetHealth ผู้ให้บริการข้อมูลด้านสุขภาพในนิวยอร์กเป็นเจ้าของ จุดข้อมูลที่เปิดเผยในการรั่วไหลรวมถึงชื่อ วันเดือนปีเกิด น้ำหนัก ส่วนสูง เพศ และสถานที่ บุคคลที่ได้รับผลกระทบมีอยู่ทั่วโลก ฟาวเลอร์ ซึ่งเปิดเผยฐานข้อมูลเมื่อวันที่ 30 มิถุนายน พ.ศ. 2564 ตาม กล่าว ZDNet.

    “ ฉันส่งหนังสือแจ้งการเปิดเผยข้อมูลอย่างมีความรับผิดชอบของ .ของฉันทันที พบและได้รับคำตอบในวันรุ่งขึ้นขอบคุณฉันสำหรับการแจ้งเตือนและยืนยันว่าข้อมูลที่เปิดเผยได้รับการรักษาความปลอดภัย” เขากล่าว

    ฟาวเลอร์กล่าวว่าไม่มีความชัดเจนว่าข้อมูลถูกเปิดเผยมานานแค่ไหนแล้ว หรือข้อมูลเหล่านั้นถูกเข้าถึงโดยผู้ประสงค์ร้ายหรือไม่ และไม่ได้บอกเป็นนัยถึงการกระทำผิดใดๆ โดย GetHealth ลูกค้าหรือคู่ค้า

    “ เราเพียงเน้นย้ำการค้นพบของเราเพื่อสร้างความตระหนักรู้ถึงอันตรายและช่องโหว่ด้านความปลอดภัยในโลกไซเบอร์ที่เกิดจาก IoT อุปกรณ์สวมใส่ เครื่องติดตามฟิตเนสและสุขภาพ และวิธีการจัดเก็บข้อมูล” เขากล่าว

    แม้ว่าเจ้าของอุปกรณ์สวมใส่ส่วนใหญ่อาจถูกล่อลวงให้คิดว่าไม่มีอาชญากรไซเบอร์ที่สนใจในการนับจำนวนก้าวในแต่ละวัน แต่ก็ไม่จำเป็นต้องเป็นเช่นนั้น ตัวอย่างเช่น ในทางทฤษฎี ข้อมูลดังกล่าวสามารถนำมาใช้เพื่อติดตามการเคลื่อนไหวของคนที่พาสุนัขไปเดินเล่นพร้อม ๆ กันทุกวัน ดังนั้นเมื่อพวกเขาไม่น่าจะอยู่บ้าน

    แม้ว่าจะไม่น่าเป็นไปได้ที่หัวขโมยทั่วไปจะมุ่งเป้าไปที่เหยื่อผู้เคราะห์ร้าย ฟาวเลอร์ชี้ให้เห็นว่า เมื่อมีการพัฒนาและทำซ้ำเทคโนโลยีที่สวมใส่ได้ อุปกรณ์จะเก็บรวบรวมข้อมูลที่ใกล้ชิดยิ่งขึ้นซึ่งอาจมีค่ามากขึ้นสำหรับผู้กระทำผิด ตัวอย่างเช่น พวกเขาสามารถใช้ข้อมูลเกี่ยวกับผู้ที่กำหนดเป้าหมายการลดน้ำหนักเพื่อกำหนดเป้าหมายพวกเขาด้วยอีเมลฟิชชิ่งโดยใช้การควบคุมอาหารหรือแผนการฝึกอบรมส่วนบุคคลเป็นสิ่งล่อ

    ตัวอย่างชุดข้อมูลที่เปิดเผยเผยให้เห็นข้อมูลเกี่ยวกับผู้อยู่อาศัยในสหราชอาณาจักร

    แสดงความคิดเห็นเกี่ยวกับเหตุการณ์ ProPrivacy’s Hannah Hart กระตุ้นให้ผู้ใช้แอปและอุปกรณ์ติดตามการออกกำลังกายตรวจสอบการตั้งค่าความเป็นส่วนตัวทันที และระมัดระวังเหตุการณ์ที่อาจจะเกิดขึ้นตามมา

    “ในขณะที่อุปกรณ์สวมใส่ได้ทำให้การติดตามน้ำหนักของเราง่ายขึ้นมาก แบบแผนการนอนหลับ และแม้กระทั่งความสัมพันธ์ของเรากับแอลกอฮอล์ – เราแทบไม่อยากได้สิ่งนี้เลย ข้อมูลที่จะเข้าถึงได้อย่างกว้างขวางในฐานะประวัติสุขภาพของบุคคลควรเป็นความลับอย่างเต็มที่” เธอกล่าว “ในขณะที่ GetHealth ได้รักษาความปลอดภัยฐานข้อมูลที่ได้รับผลกระทบแล้ว แต่ก็ยังไม่ชัดเจนว่าใครสามารถเข้าถึงฐานข้อมูลที่ไม่ปลอดภัยก่อนหน้านี้และนานแค่ไหน”

    Comfort AG’s

    Trevor Morgan กล่าวว่าการเพิ่มขึ้นอย่างรวดเร็วและการพัฒนา ของตัวติดตามฟิตเนสสะท้อนให้เห็นถึงความจริงที่ว่าผู้คนสนุกกับการติดตามความก้าวหน้าของตนเองไปสู่เป้าหมาย “การเคลื่อนไหว ‘เชิงปริมาณ’ ไม่เพียงแต่ได้รับแรงฉุด แต่ยังเพิ่มจากศูนย์เป็น 100 ไมล์ต่อชั่วโมงอย่างรวดเร็วมาก” เขากล่าว “แน่นอนว่าข้อมูลนี้จบลงในที่เก็บ ทำให้เราสามารถวิเคราะห์ข้อมูลนั้นจากหลายๆ มุม แล้วทำการเปรียบเทียบในอดีตเมื่อเวลาผ่านไป นั่นเป็นข้อมูลส่วนบุคคลจำนวนมากเกี่ยวกับหัวข้อที่มีความละเอียดอ่อนสูงที่พวกเราส่วนใหญ่หวังว่าจะได้รับการรักษาความปลอดภัยทั้งหมด”

    มอร์แกนกล่าวว่าเหตุการณ์ดังกล่าวเน้นย้ำถึงความจำเป็นในความรับผิดชอบของข้อมูล ความปลอดภัย และความเป็นส่วนตัวที่จะถูกหลอมรวมเข้ากับวัฒนธรรมองค์กร และตั้งข้อสังเกตว่า ยังเน้นให้เห็นถึงข้อโต้แย้งที่แข็งแกร่งอีกประการหนึ่งสำหรับการย้ายออกจากวิธีการป้องกันแบบเดิมๆ เช่น รหัสผ่าน การรักษาความปลอดภัยขอบเขต และวิธีการจัดการการเข้าถึงข้อมูลอย่างง่าย การนำนโยบายความปลอดภัยที่มีข้อมูลเป็นศูนย์กลาง สามารถลดความเสี่ยงได้ในขณะที่องค์ประกอบข้อมูลหลักโทเค็นสามารถช่วยให้แน่ใจว่าข้อมูลไม่สามารถใช้ประโยชน์ได้ โดยผิดคนหากรั่วไหล

    “สุดท้ายแล้ว การใช้วิธีการป้องกันให้ได้มากที่สุดคือหนทางที่ถูกต้อง” เขากล่าว “ทางเลือกอื่นคือการออกกำลังกายในการจัดการเหตุการณ์และผลกระทบเชิงลบที่มาพร้อมกัน – และนั่นเป็นการออกกำลังกายที่ลงโทษมากที่สุดสำหรับองค์กรใด ๆ ”

    จากมุมมองของการปฏิบัติตามกฎระเบียบ Hart ของ ProPrivacy กล่าวว่าเหตุการณ์ดังกล่าวได้เน้นย้ำถึงความกังวลด้านความเป็นส่วนตัวที่กว้างขึ้นเกี่ยวกับเทคโนโลยีที่สวมใส่ได้เอง ตัวอย่างเช่น ในสหรัฐอเมริกา กฎหมายของรัฐบาลกลางปกป้องข้อมูลด้านสุขภาพจากการถูกเปิดเผยโดยไม่ได้รับความยินยอมจากผู้ป่วยภายใต้ พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ (HIPAA) ของ 1996

    .

    “กฎของ HIPAA มักจะปกป้องข้อมูลนี้ แต่เนื่องจากข้อมูลที่รวบรวมโดยอุปกรณ์สวมใส่ไม่ถือเป็น PHI [protected health information] เว้นแต่จะแชร์กับแพทย์หรือโรงพยาบาล บางบริษัทอาจขายหรือแบ่งปันได้ กับบุคคลที่สาม” เธอกล่าว

    อ่านเพิ่มเติมเกี่ยวกับความเป็นส่วนตัวและการปกป้องข้อมูล

Back to top button