醫療軟體公司因洩露近50萬患者敏感資料被罰款150萬歐元

編輯：左右裡

近日，法國資料保護監管機構（CNIL）根據歐盟《通用資料保護條例》（GDPR）相關條款，對醫療軟體供應商 Dedalus Biology 處以了150 萬歐元的罰款。

Dedalus Biology在法國為數千個醫學分析實驗室提供服務，其因洩露了來自28個實驗室的491939名患者的敏感資訊而遭處罰。

該資料庫已在網路上傳播，洩露了患者的以下多項詳細資訊：

姓名、社會安全號碼、處方醫生姓名、檢查日期、醫療資訊（如愛滋病、癌症、遺傳疾病等患病情況，懷孕與否，患者後續藥物治療以及遺傳資訊等）。

這些資訊在網際網路上被廣泛傳播，導致Dedalus Biology的客戶面臨著被社會工程學網路釣魚、詐騙甚至勒索的風險。

資料庫洩漏的跡象最早表露在2020年3月，法國國家網路安全域性ANSSI於2020年11月向其中一個遭洩露的實驗室發出了相關警報。

2021年2月，法國雜誌ZATAZ在暗網上找到了該資料庫的銷售情況，並確認洩露資料是真實有效的。

處罰詳情：

Dedalus Biology首先違反了GDPR的第29條，即未能遵守管理者的指示。具體來說，是在應兩個醫學實驗室的要求從另一個供應商進行軟體遷移的過程中，Dedalus Biology提取了比所需更多的資訊。

第二項違規行為涉及的是GDPR第32條，該條款規定資料處理者應對未能保護資訊負責。但CNIL經調查發現Dedalus Biology存在以下問題：

缺乏資料遷移操作的具體程式；

對儲存在存在問題的伺服器上的個人資料缺乏加密；

遷移到其他軟體後沒有自動刪除資料；

缺乏從網際網路訪問伺服器公共區域所需的身份驗證；

在伺服器的專用區域使用多個員工共享的使用者帳戶；

伺服器上沒有監控程式和安全警報升級。

最後，Dedalus Biology違反了GDPR第28條，根據條款，DedalusBiology負有代表管理者（實驗室）為資料處理提供正式合同或法律行為的義務。

對於Dedalus Biology的上述違規行為，CNIL決定對其處以150萬歐元（158萬美元）的罰款，罰款數額的根據是侵權行為的嚴重性，這個數字由公司年收入的10%計算得來。

另外，儘管Dedalus Biology表達了與CNIL的調查人員合作從而獲得更寬鬆的處罰的意願，但資料保護辦公室指出，該公司沒有采取任何措施來限制洩露資料的線上傳播，因此沒有理由減輕處罰。

資訊來源：bleepingcomputer、CNIL官網

轉載請註明出處和本文連結

每日漲知識

跨站點指令碼（XSS）

跨站點指令碼（XSS）是通常在Web應用程式中發現的軟體漏洞，它使線上犯罪分子可以將客戶端指令碼注入其他使用者檢視的頁面中。

攻擊者可以同時利用跨站點指令碼漏洞來覆蓋訪問控制。除非網路管理員或網站所有者未採取必要的安全措施，否則此問題可能會成為嚴重的安全風險。

醫療軟體公司因洩露近50萬患者敏感資料被罰款150萬歐元

相關文章