Бесплатно Экспресс-аудит сайта:

03.04.2021

В физическом хранилище GitHub Arctic Code Vault сохранены утекшие медицинские записи

В физическое хранилище данных GitHub Arctic Code Vault в Норвегии попали медицинские записи пациентов целого ряда учреждений здравоохранения, утекшие из БД компании MedData.

В прошлом году конфиденциальные данные пациентов утекли в GitHub-репозитории, чьи контрибьюторы участвуют в проекте Arctic Code Vault. Другими словами, эти данные вместе с репозиториями теперь являются частью огромного архива репозиториев с открытым исходным кодом, сохраненного для потомков на ближайшие тысячу лет.

Хотя сложившаяся ситуация попадает в «серую зону» международного законодательства об авторском праве и нормативных актов, касающихся защиты информации, позволяющей установить личность пациента, извлечение и удаление архивных данных может оказаться сложной задачей.

В прошлом году GitHub выступил с инициативой под названием Arctic Code Vault, согласно которой, подавляющее большинство опубликованных на GitHub артефактов с открытым исходным кодом должно быть сохранено путем переноса их на физические носители, способные выдержать испытание временем.

Чтобы сохранить вклад сообщества разработчиков ПО с открытым исходным кодом за последние несколько десятилетий, миллиарды строк кода из репозиториев GitHub, актуальные по состоянию на 2 февраля 2020 года, были напечатаны на прочной пленке, рассчитанной на тысячу лет. Эта пленка была отправлена в физическое хранилище Arctic Code Vault, расположенное в угольной шахте глубоко под арктическими горами на Шпицбергене в Норвегии, неподалеку от Северного полюса.

Сервис GitHub пользуется огромной популярностью как у разработчиков, так и у киберпреступников, использующих GitHub для размещения вредоносных программ. Кроме того, во многих репозиториях хранятся пароли и ключи API, которые изначально не должны были попадать на GitHub. Возникает вопрос, должны ли такие утекшие артефакты также быть сохранены для истории?

По иронии судьбы голландский исследователь Джелле Урсем (Jelle Ursem) в сотрудничестве с Dissent Doe из DataBreaches.net обнаружил , что именно это и произошло с медицинскими записями пациентов, связанными с утечкой данных MedData.

На этой неделе множество медицинских учреждений сообщили об утечке данных пациентов, хранившихся в базе данных поставщика решений для управления циклом доходов в сфере здравоохранения MedData. Как оказалось, данные были загружены на GitHub одним из его бывших сотрудников в течение или до сентября 2019 года.

Хотя файлы были удалены GitHub 17 декабря 2020 года, учитывая, что перенесение данных в Arctic Vault завершилось 2 февраля 2020 года, эти файлы, скорее всего, попали в физический архив.