Stfw.RuСогласно проведенному аудиту, американское правительство хранит сугубо личную информацию клиентов в сфере медицинского страхования в компьютерной системе, которая подвержена множественным уязвимостям. На все предъявление претензии со стороны инспекторов Министерства здравоохранения и социального обеспечения США администрация президента Барака Обамы заявила, что уже начата усиленная работа над устранением брешей, сообщает Fox News.
Система MIDAS, которая оценивается в $110 миллионов, является центральным электронным хранилищем для относящихся к здравоохранению данным. Система не хранит медицинские записи, однако она включает в себя имена пользователей, номера медицинского страхования, даты рождения, адреса, телефонные номера, номера паспортов, статусы занятости, финансовые учетные записи пользователей HealthCare.gov и государственных страховых организаций.
Представитель Фонда электронных рубежей Джереми Джиллула (Jeremy Gillula) заявил, что такое хранилище является «золотой жилой для злоумышленников», и не понятно, почему хакерам до сих пор не удалось взломать базу и похитить персональные данные пользователей.
В ходе аудиторской проверки ИБ-исследователи обнаружили в системе в общей сложности 135 уязвимостей, из которых 22 являются критическими, а 65 – средней опасности. Эксперты выявили, что пользовательские сессии не были зашифрованы, существовала одна общая учетная запись для доступа к базе данных, система сканирования вредоносного ПО была слишком слабой и пр., что, по словам представителей Центра демократии и технологии, является непростительным для такой важной информации.
В настоящее время MIDAS хранит информацию более 10 миллионов активных пользователей HealthCare.gov и других государственных страховых организаций, система также включает в себя данные бывших клиентов. Стоит отметить, что персональные данные могут храниться в течение многих лет.
Напомним, в сентябре 2014 года группа неизвестных злоумышленников взломала сервер, поддерживающий web-сайт HealthCare.gov. По словам экспертов, зараженный сервер не содержал конфиденциальной информации пользователей.
