辉瑞云存储泄露的患者数据;报告

网络安全公司vpnMentor表示，美国处方药用户的私人信息被泄露，辉瑞公司遭受重大数据泄露的打击。

此次事件涉及辉瑞公司的自动客户支持软件与使用该公司产品的人之间的对话，这些产品包括止痛药Lyrica(普瑞巴林)、Chantix(瓦伦尼克林)(用于帮助人们戒烟)、治疗勃起功能障碍的伟哥(西地那非)、癌症治疗药物Ibrance(帕波昔利布)和Aromasin(依西美坦)。

vpnMentor说这些不安全且未加密的数据是从配置错误的谷歌云存储中泄露出来的，包括全名、家庭地址和电子邮件地址，以及机密的医疗信息，可能会使患者暴露于网络钓鱼攻击和其他骗局中。

由Noam Rotem和Ran Locar领导的网络安全专家发现了包含数据的存储“桶”，这是一个正在进行的网络地图项目的一部分。其中包括对话记录以及向支助人员“升级”询问时的后续询问。

vpnMentor声称他们在7月份就发现了这一漏洞，并在不久后联系了辉瑞制药，但直到9月的第三周才收到辉瑞制药的回复。

“制药公司有很大责任保护客户数据的安全和隐私。这不仅是一种道德责任。这就是法律，”vpnMentor在报告中表示。

“通过向公众披露这些记录，辉瑞在数据安全方面犯下了基本错误，违反了机密性，这对被曝光者的福祉产生了重大影响。”

皇冠档案管理(CRM)调查报道2017年发现，尽管制药商拥有大量的个人数据，但制药行业约四分之一的受访者未能报告数据泄露。

该调查显示，408名IT决策者中有15%的人不知道应该向谁报告网络入侵，而23%的人要么知道公司内部有人没有报告网络入侵，要么自己没有报告。

这项研究是在2018年欧盟出台《通用数据保护条例》(GDPR)之前进行的，该条例要求个人数据泄露在发现后72小时内报告。

对不遵守这些规定的组织将开始处以罚款。去年12月，根据GDPR，英国连锁药店门德药房(门德药房)因“不小心”存储患者数据而被罚款27.5万英镑。

根据vpnMentor公司的说法，由于没有保护这次泄露的数据，辉瑞公司已经使自己容易受到法律问题的影响。例如，如果任何受影响的个人是加州的居民，该公司就属于加州消费者隐私法(CCPA)的管辖范围。

网络安全专家Cybereason的首席安全官山姆·库里(Sam Curry)在评论这份最新报告时表示，这表明，即使是世界上最大的公司也很难保护自己的数据。

他说:“无论是内部错误还是外部错误导致了这次数据泄露，这都无关紧要，因为企业的数字足迹正以如此快的速度扩张，错误将会发生，数据将会暴露。”

“然而，辉瑞有责任继续尽一切可能保护其知识产权、客户和合作伙伴数据以及所有专有信息，”他继续说道。

库里表示:“在本案中，辉瑞不能打受害者牌，因为肯定没有任何客户对听借口感兴趣。”“他们想要的是透明度，并保证公司将继续确保数据保护是他们的首要任务。

他说，这次入侵应该是对所有公司的一个“警钟”，要求它们提高自身的安全性，并使用威胁追踪服务，在发生实质性破坏之前迅速发现恶意操作。

SecuringIndustry.com联系辉瑞公司寻求评论，得到以下回复:

“辉瑞意识到，一小部分非hipaa数据记录在供应商操作系统上，用于现有药品的反馈，无意中公开了。我们非常重视隐私和产品反馈。为此，当我们得知这一事件时，我们确保供应商纠正了问题，并将符合适用法律的通知发送给个人。”