數十萬份醫療記錄，包括那些在戰斗中受傷的美國軍的記錄，被發現暴露在兩個單獨的數據泄露中，一個與醫療處理公司有關，另一個與社交媒體公司有關。

這兩個數據破壞都是由來自vpnMentor的安全研究人員Noam Rotem和RanLocar發現的，涉及到位于暴露于所有和雜物的服務器上的私有數據。

在本周早些時候描述的第一個病例中，在一個不安全的MongoDB數據庫中發現了大約78,000名使用Vascepa藥物的患者的個人數據。 暴露的數據包括病人的姓名、地址、電話號碼、電子郵件地址、處方醫生、他們的NPI號碼和藥房信息。

目前還不完全清楚誰擁有數據庫。 研究人員在數據中找到了兩家公司的識別代碼：電子郵件營銷平臺提供商Constant聯系人和PSKW，這是一個名為ConntectiveRX的電子處方程序的合法名稱。

研究人員寫道：“鑒于數據中標簽的一致性，我們懷疑數據庫可能屬于Connective RX。 “然而，我們只找到了有關Vascepa處方的數據，這使得泄漏的來源不太清楚。

在討論Vascepa數據庫時，欺詐預防技術公司ArkoseLabsInc.的首席執行官凱文·戈斯卡爾(Kevin Gosschalk)對硅谷說，繼Quest診斷和實驗室公司之后，這是過去三周來第三次高調的醫療違約。

Gosschalk說：“處理醫療記錄的公司是網絡罪犯的主要目標，必須采取一切必要的預防措施來保護所有的攻擊表面。 “在當今的威脅環境中，公司無法承受這種性質的安全嚴重失效。 必須在任何時候都采取積極主動的安全措施，以保護攻擊面和保護敏感數據。

在這兩次數據泄露中，第二次和更大的一次涉及約15萬份個人記錄和屬于Face book公司營銷機構xSocial MediaInc.服務器上的其他數據，該公司專門開展醫療事故訴訟活動。

暴露的數據似乎是從Face book廣告的回復中收集的，包括姓名、電子郵件地址、街道地址、電話號碼和有關該人受傷的詳細信息。 除了個人信息外，服務器還包括發票、客戶數據和傷害-check.com廣告活動的確切數字，這是x社交媒體用來收集數據的網站。

這些數據包括退伍軍的信息，他們描述了受傷情況，包括創傷后應激障礙和其他不應該暴露的親密醫療細節。 vpnMentor研究人員立即聯系了x社交媒體關于數據泄露的消息，但公司花了九天時間才將數據離線。

在這一階段，沒有證據表明任何一種情況下的數據都是惡意者訪問的，但也沒有證據證明數據也沒有被訪問。

網絡安全公司ImpervaInc.高級副總裁兼研究員特里？雷(Terry Ray)表示：“當這樣一系列信息被包裝起來時，就像是一個禮物，等待壞的行為者來抓住它。

他說，在這些情況下，“由于數據庫存儲的是個人信息之外的醫療信息，應該采取更多的謹慎措施。”他補充說，未能對這些病人數據進行加密可能違反了《健康保險可攜性和問責法》或《健康保險責任法》，責任人可能面臨巨額罰款。