تسريب تفاصيل شخصية لمرضى كورونا على نظام غير مشفر

عندما اجتاح وباء فيروس كورونا الولايات المتحدة، كانت كاليفورنيا واحدة من أولى الولايات التي اتخذت إجراءات، وأصدرت أمرًا بالبقاء في المنزل في شهر مارس شمل حوالي 40 مليونًا من سكانها.

 

في ذلك الوقت، لم يكن هناك الكثير من المعلومات العامة حول مدى خطورة تأثير COVID-19 على المستشفيات، وسرعان ما ظهر كيف عانى الطاقم الطبي من نقص في معدات الحماية، ونقص في أجهزة التنفس الصناعي، والتدفق الهائل لمرضى فيروس كورونا.

 

ناقش موظفو المستشفى من سان دييجو إلى لوس أنجلوس هذه القضايا داخليًا على شبكة بيجر، لكن تروي براون، الباحث الأمني​​، قال في عرضه التقديمي في قرية إنترنت الأشياء التابعة لـ Defcon، إن الرسائل لم تظل سرية.

كان براون قادرًا على رؤية كل شيء، بما في ذلك التفاصيل الشخصية حول المرضى، مثل

أسماء المرضى وحالة COVID-19، بالإضافة إلى عدد المرات التي تم فيها نقل المرضى من جناح الفيروس إلى المشرحة.

 

قال براون إنه تم إرسال التفاصيل الحساسة دون تشفير عبر أجهزة الاستدعاء الخاصة بالمستشفى، مما يسمح له بالتنصت على المحادثات الخاصة من مارس إلى أغسطس.

 

أضاف براون: "تتضمن رسائل النداء غير المشفرة الكثير من معلومات COVID"، لقد كان نوعًا من الصدمة معرفة أنه تم بثه حرفياً في نص عادي لمسافة طويلة حقًا"، وأشار إلى أن المستشفيات يجب أن تقوم بعمل أفضل لتأمين اتصالاتها اللاسلكية.

 

المستشفيات التي لديها بروتوكولات مراسلة غير آمنة ليست جديدة، فقد حذر الباحثون من المشكلة لعقود، على سبيل المثال، ركز تقرير

إخباري في أكتوبر من عام 2019 على باحث واحد في لندن وجد أن أجهزة الاستدعاء التي تستخدمها خدمة الصحة الوطنية في البلاد كانت تسرب البيانات الطبية الخاصة بمكالمات الطوارئ.

 

يمكن تشفير جهاز الاستدعاء، لكن حوالي 80% من المستشفيات لا تزال تستخدم أجهزة غير آمنة، كما قال براون، كان قادرًا على استخدام جهاز راديو محدد بقيمة 20 دولارًا للاستماع إلى برج إذاعي بالقرب من منزله، والذي يمكنه بث الرسائل من مسافة تصل إلى 70 ميلاً.

 

بمجرد أن بدأ في التنصت، رأى براون سيلًا من المعلومات حول COVID-19 من المستشفيات، بما في ذلك أنواع الطلبات التي كان المرضى يقدمونها، قدمت التفاصيل لمحة عن كيفية مشاهدة الناس لتفشي فيروس كورونا وكيف تغيرت التصورات مع تدهور الظروف.

 

في البداية، تضمنت الرسائل ملاحظات حول الحمى أو ضيق التنفس أو أعراض أخرى متعلقة بالمرض، بحلول أبريل، كانت كل رسالة تحتوي على أسئلة حول COVID-19 تمت إضافتها افتراضيًا، حتى لو لم يكن لمشكلة المريض الصحية أي علاقة بالمرض.