Gravatar: ¿es un riesgo de seguridad para los foros médicos?

4

Si los foros del sitio utilizan Gravatar, y los usuarios están publicando predominantemente información personal sobre problemas de salud mental, ¿es esto un riesgo de seguridad? ¿Debería el sitio considerar la posibilidad de desactivar o dejar de participar en Gravatar?

Por un lado, estos usuarios participan voluntariamente en estos foros públicos. Por otro lado, no están revelando su identidad y probablemente creen que su identidad no puede ser expuesta de manera trivial.

Los riesgos parecen ser que el propietario del sitio pierda la confianza y, posiblemente, infrinja las leyes de privacidad de la salud en varios países con una identidad considerada PII.

Por supuesto, todo esto es discutible si no hay una vulnerabilidad técnica. El mejor resumen que puedo encontrar parece sugerir que todavía puede haber algún motivo de preocupación: enlace

    
pregunta whitneyland 22.07.2017 - 22:00
fuente

1 respuesta

6

HIPAA declara específicamente que los usuarios envían correos electrónicos La dirección está protegida PII . El hash de md5 de la contraseña del usuario es trivial a la inversa, y una violación de los datos de estos hashes daría lugar a la divulgación de direcciones de correo electrónico protegidas, lo que resultaría en un recurso legal. La comunidad de BlackHat es rápida para descifrar hashes, y las direcciones de correo electrónico pueden ser más predecibles que una contraseña.

Si un atacante puede demostrar que sus sistemas violaron la HIPAA, se tomarán acciones legales. Gravatar nunca tuvo la intención de preservar la privacidad del usuario, y filtrar la identificación de un paciente con un gravatar es una violación de HIPAA.     

respondido por el rook 23.07.2017 - 02:03
fuente

Lea otras preguntas en las etiquetas