据外媒TechCrunch报道，一家健康科技公司在安全证书失效导致服务器没有密码后，每天泄漏数千张医生药方、医疗记录和处方。这家名不见经传的软件公司来自加利福尼亚州的Meditab，自称是医院、医生办公室和药房领先的电子医疗记录软件制造商之一。该公司为医疗保健提供商处理电子传真，仍然是将患者文件共享给其他提供商和药房的主要方法。

但据发现数据的安全公司称，该传真服务器没有得到妥善保护。总部位于迪拜的网络安全公司SpiderSilk告诉TechCrunch遭泄露的服务器。自2018年3月创建以来，公开的传真服务器运行的Elasticsearch数据库拥有超过600万条记录。

由于服务器没有密码，任何人都可以实时读取传输的传真 - 包括其内容。

根据对数据的简要回顾，传真包含大量个人身份信息和健康信息，包括医疗记录、医生药方、处方数量和数量，以及疾病信息等。传真还包括姓名、地址、出生日期，在某些情况下还包括社会安全号码和健康保险信息以及支付数据。

传真还包括有关儿童的个人数据和健康信息。没有数据被加密。

在传真服务器上找到两份泄露的文件。（图片来源：TechCrunch）

该服务器托管于MedPharm Services的子域，MedPharm Services是总部位于波多黎各的Meditab的一家分支机构，由Kalpesh Patel创立。MedPharm 作为一家独立的公司在圣胡安被分拆出来，以便为那些在岛上开展业务的人提供减税优惠。

TechCrunch通过联系几位从传真中确认其详细信息的患者来验证记录。

Patel表示，关于安全证书失效问题，该公司正在“调查问题以确定问题和解决方案”。“我们仍在审查我们的日志和记录，以查看任何潜在风险的范围，”该公司总法律顾问Angel Marrero在一封电子邮件中说。

我们询问该公司是否计划通知监管机构和客户。Marrero表示，该公司“将遵守现行联邦和州法律法规规定的任何及所有必要通知（如适用）。”

Meditab和MedPharm都声称符合HIPAA，即《美国健康保险流通与责任法案》，该法案管理医疗服务提供者如何正确管理患者的数据安全。

泄露数据或违法的公司可能面临巨额罚款。

去年是“创纪录”罚款的一年 - 几次暴露和违规行为约为2500万美元，其中包括对德克萨斯大学无意中披露加密个人健康数据的430万美元罚款，费森尤斯的解决方案为350万美元。五个不同的违规行为。

美国卫生和公共服务部的发言人没有发表评论。