Miles de registros farmacéuticos se filtran en posible violación de HIPAA




El equipo de investigación de vpnMentor ha descubierto una fuga en una base de datos con respecto a los medicamentos recetados en Vascepa.

El equipo de investigación, liderado por Noam Rotem y Ran Locar, encontró varios conjuntos de datos no protegidos y no cifrados con respecto a Vascepa . Vascepa, un suplemento de prescripción que ayuda a disminuir los triglicéridos. El medicamento parece ser usado por más de 78,000 pacientes.

Los datos incluyen información de identificación completa para los más de 78,000 pacientes que toman el medicamento. Una segunda base de datos con información de transacción también estaba disponible.

Los datos del paciente incluyen los nombres , direcciones, números de teléfono y direcciones de correo electrónico de los pacientes . Además, se pudo acceder a la información de la transacción que registra al médico que prescribe , su número de NPI y la información de la farmacia .

Encontraron los datos a través de una base de datos MongoDB mal configurada, que se dejó abierta y expuesta para permitir el acceso de cualquiera en Internet. Creemos que la base de datos podría pertenecer a ConnectiveRX varios días después de descubrir los datos. Luego contactamos con ellos para alertarlos sobre la filtración.


Ejemplos de entradas en la base de datos

Vascepa es un medicamento recetado fabricado por Amarin. El medicamento, destinado a ayudar a disminuir los triglicéridos altos, es tomado por más de 78,000 pacientes . Según la violación de la base de datos que encontraron, se sabe que ha habido más de 390,000 transacciones de Vascepa.

El medicamento es único porque reduce los triglicéridos sin elevar el LDL de un paciente o el colesterol malo. Vascepa se destaca de otros suplementos de Omega-3 en su falta de DHA, un ácido graso Omega-3 que se ha demostrado que eleva las LDL. Solo está disponible con receta médica.

Datos incluidos en el incumplimiento

Información del paciente


  • Nombre completo
  • Dirección
  • Número Celular
  • Dirección de correo electrónico
  • información de la transacción
  • Identificación de la farmacia
  • Nombre de la farmacia
  • Dirección de la farmacia
  • Médico que prescribe
  • Número NPI (Identificador de proveedor nacional)
  • Identificación de miembro
  • Número de perfil electrónico de NABP (Asociación Nacional de Juntas de Farmacia)



Podemos ver en los datos anteriores que se puede acceder fácilmente a la información de identificación completa de los pacientes en la base de datos. Con su nombre y dirección , es fácil encontrar una gran cantidad de información sobre ellos. En particular, existen códigos de identificación para otras dos compañías , Constant Contact, una plataforma de marketing por correo electrónico y PSKW, el nombre legal de un programa de prescripción electrónica, ConntectiveRX.

Sospechamos que la base de datos puede pertenecer a ConnectiveRX , dada la consistencia de las etiquetas en los datos. Sin embargo, solo encontramos datos relativos a las prescripciones de Vascepa, lo que deja menos claro dónde se originó la fuga.

Tener acceso a una lista completa de números de teléfonos celulares y direcciones de correo electrónico es una invitación para un ataque.




Este segundo ejemplo proviene de una segunda base de datos. Tenemos 391, 649 transacciones de compra para Vascepa. La información almacenada en las transacciones incluye toda la información sobre las farmacias donde se surtió la receta. Esto incluye el número de perfil electrónico para el farmacéutico, que rastrea las recetas que surgen, entre otras cosas .

Además, tenemos la información completa para el prescriptor. Esto incluye su nombre completo, el tipo de licencia médica que poseen, la dirección de su consulta y sus números de NPI.

Impacto de la violación de datos

Los datos de salud como lo que se filtró de la base de datos de Vascepa parecen estar dentro del paraguas de la información cubierta por la Regla de Privacidad de HIPAA. Bajo esta norma, la información del paciente, incluso en una industria asociada, no debe divulgarse con ningún identificador, a menos que el propio paciente lo acepte.

Los registros médicos están protegidos del acceso público para garantizar la privacidad y seguridad del paciente. Puede haber muchas consecuencias graves si se comparte el historial médico sin el consentimiento de una persona. Pueden enfrentar la discriminación de un trabajo o encontrarse en medio de un conflicto familiar. Muchas personas pueden encontrar sus historias médicas embarazosas. En algunos casos, el historial médico se utiliza como chantaje. Mantener protegidos los datos de salud puede mantener a los pacientes más seguros a largo plazo.

Como vemos en los datos anteriores, tener la dirección de correo electrónico o el número de teléfono de un paciente es una manera fácil de iniciar un ataque masivo de spam o malware. El acceso a la información de salud privada de un paciente facilita cometer actos de fraude. En este caso, no tenemos un vínculo directo entre el paciente y su prescriptor, pero esa información podría usarse para engañar a un paciente si alguien lo encontrara.

También existe la posibilidad de que la información del médico pueda ser utilizada incorrectamente por alguien que la encontró y entendió el procedimiento para llamar y completar las recetas. A medida que la prescripción electrónica se vuelve más popular, las farmacias han adoptado la autenticación de múltiples factores para prevenir el fraude de recetas, especialmente cuando se trata de sustancias controladas.

Las violaciones de datos en la industria del cuidado de la salud son cada vez más comunes. La ciberseguridad, por lo tanto, es un problema apremiante en todas las industrias. La frecuencia con la que se filtran los datos de salud ha llevado a la adopción de nuevos estándares de seguridad para las compañías de atención médica que trabajan con bases de datos en línea.

Uno de los requisitos principales es que todos los datos almacenados en la base de datos deben estar encriptados. De esta manera, incluso si se filtra, los datos deben ser ilegibles. Como podemos ver en el caso de Vascepa, no había ningún nivel de cifrado que protegiera esta información confidencial. HIPAA ofrece a las empresas que trabajan con datos médicos virtuales una lista de verificación para el cumplimiento de la seguridad.

Las compañías de atención médica que sufren una violación de datos pueden enfrentar multas severas , dependiendo de la negligencia de la que sean culpables. De acuerdo con la regla de cumplimiento de HIPAA, incluso "una violación atribuible a la ignorancia puede atraer una multa de $ 100 - $ 50,000" por cada violación.

Estas son solo las consecuencias de imponer HIPAA en sí. Cuando ocurren fugas, las compañías aún pueden enfrentar demandas civiles de las víctimas de las fugas además de las multas financieras. Dos de las razones más comunes para las multas incluyen no tener la protección para los registros de pacientes y no tener las medidas de seguridad adecuadas para proteger los registros electrónicos.

Consejos de los expertos

Vascepa podría haber evitado fácilmente una violación de datos de este tipo con varias medidas de seguridad básicas. Los siguientes consejos son algunos pasos básicos para prevenir o parchar una fuga en una base de datos.

  • Asegure sus servidores.
  • Implementar reglas de acceso adecuadas.
  • Nunca deje un sistema que no requiera autenticación abierta a Internet.

Para obtener una guía más detallada sobre cómo proteger su negocio, consulte cómo proteger su sitio web de los ciberdelincuentes


Cómo y por qué descubrimos la brecha

Encontramos esta fuga de datos como parte de nuestro proyecto de mapeo web a gran escala. Los puertos de escaneo Ran y Noam en busca de bloques de IP conocidos. Una vez que han descubierto estos bloques, pueden usarlos para buscar agujeros en el sistema de un sitio web.

Cuando encuentran datos filtrados, utilizan varias técnicas expertas para verificar la identidad de la base de datos . A continuación, alertamos a la empresa ante el incumplimiento . Si es posible, también alertaremos a los afectados por el incumplimiento. El propósito del proyecto es ayudar a que Internet sea más seguro para todos los usuarios.


Fuente: https://www.vpnmentor.com/blog/report-vascepa-leak/