เหตุการณ์ละเมิดข้อมูล
แฮกเกอร์ใช้ชื่อ 'nears' (หรือเดิมชื่อ near2tlg) อ้างว่าได้เจาะระบบ MediBoard ของ Softway Medical Group ซึ่งเป็นแพลตฟอร์มระบบบันทึกผู้ป่วยอิเล็กทรอนิกส์ (EPR) ส่งผลให้ข้อมูลสุขภาพของผู้ป่วยกว่า 750,000 รายจากโรงพยาบาลแห่งหนึ่งในฝรั่งเศสถูกเปิดเผย รวมถึงการเสนอขายข้อมูลเหล่านี้บนออนไลน์ ข้อมูลที่ถูกละเมิดประกอบด้วยชื่อ-นามสกุล วันเกิด เพศ ที่อยู่ เบอร์โทรศัพท์ อีเมล แพทย์ที่ดูแล ใบสั่งยา และประวัติสุขภาพ
การเข้าถึงและผลกระทบ
Softway Medical Group ยืนยันว่าการโจมตีครั้งนี้ไม่ได้เกิดจากช่องโหว่ของซอฟต์แวร์ แต่เกิดจากบัญชีที่มีสิทธิพิเศษในระบบโครงสร้างพื้นฐานของโรงพยาบาลที่ถูกเจาะ ข้อมูลดังกล่าวไม่ได้โฮสต์โดยบริษัท แต่เป็นของโรงพยาบาลที่ใช้แพลตฟอร์ม MediBoard
ความเสี่ยงและการเสนอขายข้อมูล
ผู้ก่อเหตุได้เริ่มขายสิทธิ์การเข้าถึงระบบของโรงพยาบาลหลายแห่งในฝรั่งเศส ซึ่งรวมถึง Centre Luxembourg, Clinique Alleray-Labrouste และ Hôpital Privé de Thiais โดยอ้างว่าสามารถเข้าถึงบันทึกผู้ป่วย การเรียกเก็บเงิน และแก้ไขข้อมูลต่าง ๆ ได้ ขณะนี้ยังไม่มีการยืนยันว่าข้อมูลถูกขายหรือรั่วไหลเพิ่มเติม
ผลกระทบต่อผู้ป่วย
ข้อมูลที่เปิดเผยเสี่ยงต่อการถูกใช้ในกิจกรรมฟิชชิง การหลอกลวง และการโจมตีทางสังคมอื่น ๆ ทำให้ผู้ป่วยกว่า 750,000 รายต้องเผชิญกับความเสี่ยงที่อาจเกิดขึ้นจากเหตุการณ์ดังกล่าว
เหตุการณ์นี้เน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ในระบบข้อมูลสุขภาพ แม้ซอฟต์แวร์จะไม่ได้มีช่องโหว่โดยตรง แต่การโจมตีผ่านบัญชีที่มีสิทธิพิเศษในโครงสร้างพื้นฐานยังคงเป็นปัจจัยที่ต้องการการจัดการและเฝ้าระวังอย่างจริงจัง.
ข้อมูลจาก https://www.bleepingcomputer.com/news/security/cyberattack-at-french-hospital-exposes-health-data-of-750-000-patients/
Leave a comment