web-dev-qa-db-ja.com

Gravatar-医療フォーラムのセキュリティリスクですか?

サイトフォーラムがGravatarを使用していて、ユーザーが主にメンタルヘルスの問題に関する個人情報を投稿している場合、これはセキュリティリスクですか?サイトは、Gravatarをオフにするか、オプトアウトを許可することを検討する必要がありますか?

一方で、これらのユーザーは自発的にこれらの公開フォーラムに参加しています。一方、彼らは自分たちのアイデンティティを開示しておらず、おそらく自分たちのアイデンティティを簡単に公開することはできないと信じています。

リスクは、サイト所有者が信頼を失い、IDがPIIと見なされるさまざまな国の医療プライバシー法に違反する可能性があるようです。

もちろん、技術的な脆弱性がなければ、これらすべてが問題になることはありません。私が見つけることができる最良の要約は、まだ懸念の原因がある可能性があることを示唆しているようです: https://www.wordfence.com/blog/2016/12/gravatar-advisory-protect-email-address-identity

4
whitneyland

HIPAAは、ユーザーのメールアドレスは保護されたPIIであると明確に述べています 。ユーザーのパスワードのmd5ハッシュは簡単に元に戻すことができ、これらのハッシュのデータ違反により、保護された電子メールアドレスが漏えいし、法的手段に頼ることになります。ブラックハットコミュニティはハッシュをすぐに解読でき、電子メールアドレスはパスワードよりも予測可能です。

攻撃者がシステムがHIPAAに違反していることを示すことができる場合、法的措置が取られます。 Gravatarはユーザーのプライバシーを保護することを意図したものでは決してなく、医療患者のGravatar IDの漏洩はHIPAAの違反です。

6
rook