患者的健康信息是否进入GitHub的北极代码库？

- 根据安全研究员Jelle ursem和Databreaches.net的异议报告，捕获来自多个提供商的患者数据，并随后在数据存储库Github北极代码库上泄露了第三方供应商Meddata。

Meddata为医疗保健系统和医院提供收入周期服务，包括医疗补助资格，第三方责任，工人赔偿和患者计费服务。

在北极代码值中发现了数据，该值是一个开源的公共数据存储库，在长期的档案设施中，设计用于持续高达1000年。通过他的研究，ursem检测到与单个开发人员相关的受保护的健康信息的Trovers。

大多数数据似乎是来自多个提供商的声明数据，或电子数据交换（EDI），其指向从第三方串行的数据。进一步的分析发现数据属于医疗保健商业助理Meddata。

Meddata在12月初的事件通知，但乌尔萨姆和异议没有收到答复，直到几周和多次失败的尝试稍后。然后提供供应商的链接到泄露PHI的存储库。

该数据库于12月17日被删除。Meddata最近发布了一段通知，详细介绍了涉及向供应商提供的信息进行处理服务的信息。

通知确认Meddata通过Ursem和12月初的异议联系，通知供应商与其客户联系的患者数据已上传到公共网站。

启动内部调查以验证索赔。官员发现，员工将文件保存到2018年12月至2019年12月在雇佣期间在2018年12月至2019年9月期间创建的个人文件夹。

在发现时，Meddata于2020年12月17日从公共场所移除了该数据库。官员表示，他们与第三方网络安全公司签订了审查文件以确定受影响的PHI和患者联系信息。

受影响的数据包括患者姓名与一个或多个数据元素组合，例如订户ID，社会安全号码，诊断，条件，声明数据，服务日期，医疗程序代码，保险策略编号，提供商名称，联系方式和日期出生。

该活动受到影响的涵盖实体于2021年2月8日通知，而卫生和人类服务部及患者于3月31日获悉该事件。

到目前为止，至少有五个涵盖的实体发出了自己的违约通知：国王的女儿卫生系统，OSF医疗保健，阿司匹查，Uchicago医学和纪念赫尔曼卫生系统。

根据通知，Meddata继续与外部安全缔约方合作，确认已删除和物理销毁的事件所绑定的所有数据，以及确定数据是否已与其他人共享。

Uchicago通知官员正在审查与MedData的关系，以确保供应商的安全措施与卫生系统一致。

这是URSEM和Instens在过去六个月内泄露患者数据的核查库的第二次报告。 8月，他们报告说，至少九个GitHub储存库利用不当的访问控制泄露了超过150,000至200,000名患者的数据。数据属于多个提供商。

事件突出了供应商管理的重要性，确保安全策略的必要性对齐。以前的报告显示了大约三分之一的医疗保健数据库，存储在云中，甚至是本地，正在在线积极泄露数据。

医疗实体应继续评估与商业伙伴和其他相关供应商的关系，以保护这些类型的数据泄漏，特别是在最近的供应链事件中。

安全研究人员强调第三方关系需要持续的审查，在缔约阶段开始，并以年度风险评估结束。强大的商业助理协议不仅有助于HIPAA合规性，该合同还可以在保护PHI的隐私和安全性时概述实体所允许和所要求的。