كشفت دراسة بحثية جديدة أن آلاف التفاصيل الصحية شديدة الحساسية لأشخاص، بما في ذلك التسجيلات الصوتية والمرئية لجلسات العلاج، كانت متاحة بشكل علني على الإنترنت. وتضمنت مجموعة المعلومات، المرتبطة بشركة رعاية صحية أمريكية، أكثر من 120 ألف ملف وأكثر من 1.7 مليون سجل نشاط.
في نهاية شهر أغسطس/آب، اكتشف الباحث الأمني جيرميا فاولر كنزًا من المعلومات المكشوفة في قاعدة بيانات غير آمنة مرتبطة بمزود الرعاية الطبية الافتراضي Confidant Health. تساعد الشركة، التي تعمل في خمس ولايات بما في ذلك كونيتيكت وفلوريدا وتكساس، في توفير خدمات التعافي من إدمان الكحول والمخدرات، إلى جانب علاجات الصحة العقلية وغيرها من الخدمات.
وفي غضون 5.3 تيرابايت من البيانات المكشوفة، كانت هناك تفاصيل شخصية للغاية عن المرضى تتجاوز جلسات العلاج الشخصية. وتضمنت الملفات التي اطلع عليها فاولر تقارير متعددة الصفحات عن ملاحظات المرضى الذين خضعوا للعلاج النفسي وتفاصيل عن تاريخهم الطبي. ويقول فاولر: “في أسفل بعض الوثائق، وردت عبارة “بيانات صحية سرية”.
على سبيل المثال، يتضمن ملف استقبال المرضى النفسيين المكون من سبع صفحات، والذي يبدو أنه يستند إلى جلسة استمرت ساعة مع مريض، تفاصيل عن مشاكل تتعلق بالكحول ومواد أخرى، بما في ذلك كيف ادعى المريض أنه تناول “كميات صغيرة” من المخدرات من إمدادات دار رعاية المسنين التي كان يمتلكها جده قبل وفاة هذا العضو من الأسرة. وفي وثيقة أخرى، تصف أم العلاقة “المثيرة للجدال” بين زوجها وابنها، بما في ذلك أنه بينما كان ابنها يستخدم المنشطات، اتهم شريكها بالاعتداء الجنسي.
تتضمن المستندات الصحية المكشوفة بعض الملاحظات الطبية حول مظهر الأشخاص وحالتهم المزاجية وذاكرتهم وأدويتهم وحالتهم العقلية بشكل عام. ويبدو أن إحدى جداول البيانات التي اطلع عليها الباحث تسرد أعضاء Confidant Health وعدد المواعيد التي تلقوها وأنواع المواعيد والمزيد.
يقول فاولر: “هناك بعض الصدمات العائلية المؤلمة للغاية، والصدمات الشخصية”، مضيفًا أن بعض الملفات كانت عبارة عن تسجيلات صوتية ومقاطع فيديو لجلسات المرضى. “يبدو الأمر وكأنك تكشف عن أعمق أسرارك المظلمة التي أخبرت بها مذكراتك، وهي أشياء لا تريد أبدًا أن تُكشف”.
ويقول فاولر إنه إلى جانب الملفات الطبية في قاعدة البيانات المكشوفة كانت هناك مستندات إدارية وتحققية، بما في ذلك نسخ من رخص القيادة وبطاقات الهوية وبطاقات التأمين. كما احتوت السجلات على مؤشرات على أن بعض البيانات يتم جمعها بواسطة برامج الدردشة أو الذكاء الاصطناعي، مع الإشارة إلى المطالبات واستجابات الذكاء الاصطناعي للأسئلة.
يقول فاولر إن شركة Confidant Health أوقفت الوصول إلى قاعدة البيانات المكشوفة بسرعة بعد أن اتصل بها. ويقول الباحث، الذي ينبه الشركات إلى البيانات المكشوفة ولا يقوم بتنزيل أي منها، إن نسبة من الملفات البالغ عددها 120 ألف ملف المكشوفة كانت تحتوي على شكل من أشكال الحماية بكلمة مرور. ويقول فاولر إنه راجع حوالي 1000 ملف للتحقق من التعرض وتحديد مصدر البيانات حتى يتمكن من تنبيه الشركة. ويقول إنه من غير المعتاد أن تتضمن قاعدة البيانات المكشوفة ملفات مقفلة وغير مقفلة.
وفي تصريح لموقع WIRED، قال جون ريد، أحد مؤسسي شركة Confidant Health، إن الشركة تأخذ المخاوف الأمنية على محمل الجد و”تتعامل مع الطبيعة المثيرة” للنتائج. وقال ريد إنه بمجرد إخطار الشركة بـ “التكوين غير السليم”، تم “إصلاح الوصول إلى الملفات المكشوفة في أقل من ساعة”.
