La startup de soins de santé Lyfebin expose des images médicales – TechCrunch

La startup de soins de santé Lyfebin a exposé des milliers de fichiers d'imagerie médicale, tels que les rayons X, les scanners IRM et les ultrasons.

La startup de soins de santé basée à Los Angeles permet aux médecins et au personnel médical de stocker des images médicales dans son «environnement sécurisé», selon son site Web, permettant aux patients et aux médecins d'accéder de n'importe où.

Mais les fichiers ont été trouvés stockés dans un compartiment de stockage Amazon Web Services (AWS) non protégé, sans mot de passe, permettant à toute personne connaissant l'adresse Web facile à deviner d'accéder aux données.

Les dossiers étaient datés de septembre 2018 à octobre 2019.

Après que nous ayons tendu la main pour avertir de la défaillance de la sécurité, Lyfebin a sécurisé les données.

Le compartiment de stockage contenait plus de 93 000 fichiers – dont beaucoup semblaient être des doublons – contenant des analyses médicales. Les fichiers ont été stockés au format DICOM, un type de fichier commun utilisé par les équipements d'imagerie médicale. Une fois ouverts, les fichiers DICOM contiennent les images de l'analyse ainsi que d'autres métadonnées, telles que la date de naissance du patient et le nom du médecin.

Lorsqu'on lui a demandé, Lyfebin ne disait pas combien de patients individuels étaient affectés. Au lieu de cela, un porte-parole anonyme de la société a affirmé que le seau était un «environnement de test dans lequel nous utilisons de faux comptes et de faux comptes de patients pour tester de nouvelles fonctionnalités», mais n'a fourni aucune preuve à l'appui de la réclamation. (Nous avons demandé à plusieurs reprises le nom du porte-parole, mais le représentant de l'entreprise a cessé de renvoyer nos e-mails.)

L'une des analyses trouvées dans le compartiment de stockage exposé

"Lorsque nous ingérons des informations sur les patients dans nos serveurs, nous supprimons toutes les informations d'identification", a déclaré le porte-parole anonyme. "Aucune information sur les patients n'a été révélée", ont-ils ajouté.

De nombreux fichiers semblaient être anonymisés dans une certaine mesure, bien que nous ayons trouvé des preuves de certaines informations potentiellement identifiables – y compris les noms des médecins et le sexe et la date de naissance du patient, même si le nom du patient avait été brouillé sur la page couverture du fichier.

Un dossier que nous avons examiné contenait toujours un nom. Le fichier contenait suffisamment d'informations identifiables pour nous permettre de rechercher la personne à l'aide de documents publics. Une fois atteinte, la personne ne pouvait se rappeler la date précise de son examen.

Lorsqu'on lui a demandé des éclaircissements, le porte-parole anonyme a répété que les données contenaient de «fausses informations sur les patients», puis a menacé TechCrunch de poursuites judiciaires.

"En cas de publication, notre équipe juridique examinera votre article pour toute inexactitude et poursuivra avec la plus grande étendue de la loi pour tout acte répréhensible de votre part ou de TechCrunch", a déclaré le porte-parole.

Lyfebin n'a pas répondu à nos autres questions, y compris la durée d'exposition du seau. La société ne dira pas si la société prévoit d'informer les clients de la défaillance de la sécurité, ni ne dira si elle prévoit de divulguer l'incident aux autorités locales par les lois de notification de violation de données de l'État.

Lire la suite:

Traduit de la source : https://techcrunch.com/2019/12/20/lyfebin-medical-imagees-exposed/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.