杏树林你为什么要说谎,“病历夹”到底符合哪一个国家的HIPPA?
Dr.2工作室测试一下杏树林旗下的“病历夹”的网络安全性能。 
2015-2-3 10:31:32
0
Dr.2

本文转载自珍立拍

 

首先恭喜杏树林获得辉瑞移动医疗大赛的冠军,并得了10万块钱奖金,在演讲的时候,杏哥一直反复强调他们的产品符合HIPPA(美国关于患者医疗信息隐私携带与传递的相关法案),就是这点为你加分很多,于是获得了最有医疗价值奖项。同天,在传媒大学的移动医疗分会场,杏树林的另一位同学又对着所有的人,侃侃而谈关于患者医疗信息隐私保护的问题,并自称你们已经做到了。似乎给全国所有的医务工作者传递信息,你们通过了所谓美国HIPPA的认证。历史上你们曾多次高调造势为了融资和去拿药企的合作项目,并刷榜和虚增了不少数据,Dr.2也觉得正常,即使只是套用了科大讯飞和云知声的SDK,就号称完成了国内第一个医疗语音识别系统,明明是后台全人工识别,就变成国内第一个图文识别体系,但这只不过是虚假宣传而已,多少还是做了工作的。问题是关于HIPPA,你们为什么要欺骗天下人?

 

你可以晃点辉瑞的老总们,因为他们只是做药的,你可以糊弄在座的评委,因为他们是搞投资的,你可以欺骗全国的医务工作者,因为他们是从事临床的,你可以对着传媒提问胡说八道,因为在如此专业的领域,他们都是一窍不通的。只是对着自己的良心和团队内部所有的人,每天撒谎,难道没有一点难受吗?这就是你们的价值观?

 

关于HIPPA的专业性文章,一般人是不可能理解的,Dr.2未来会摘要综述进行介绍。这里我只想指出两个致命的问题:第一,只有后台自动化图文识别,并由医生自己修改才有可能符合HIPPA,但是你们全部是人工识别的,虽然从来含糊其辞,故意偷换概念。不过这些人工整理的病例必然经过了第三人甚至第四人的手,如何从程序上保证患者隐私呢?我不知道这到底符合哪一个国家的HIPPA?谁来认证的,还是你们自封的?

 

不过这并不是最要命的,下面图文表述你们的“病历夹”从程序到架构的“明文传递”和绝不加密,才是铁一般的事实,无法抵赖。

 

众所周知,大部分的APP都需要联网,通过各服务器之间的通信来获取内容。由于在传输过程中有可能经过不安全的节点,所以我们应该对敏感信息进行加密传输,用于保证用户的信息安全,尤其是涉及医疗信息和患者隐私的内容。

 

现在Dr.2工作室来测试一下杏树林旗下的“病历夹”的网络安全性能。

 

1.账号安全

 

我们由一名测试人员进行测试,另一名技术人员进行监听网络进行分析。首先我们在wifi环境中加一个代理节点,用以监听手机发送的请求。

 

然后测试人员打开《病历夹》,点击登录

 

 

 

技术人员监测到的请求是

 

  



请求Url:http://services.xingshulin.com/UserService/UserDataNewServlet

虽然用了POST方式,比GET安全,但还是用的“明文传输”,抓包后直接能获取到用户信息。(GET的URL数据一般都会保存在服务器的Access Log中,所以黑客一旦攻破服务器,只需要扫描Acesss Log,则可以轻易获得所有用户的明文密码,你们连基本的网络安全都没有,居然还好意思说HIPPA?)

 

2.患者信息安全

 

首先,我们的测试人员采集一份病例上传到“病历夹”的云端,如下图所示

 

 

 



《病历夹》显示病例信息

 

 


首诊信息

 

 

 实际地址:

http://www.xingshulin.com/upload/casefolder/324427/4B60A124-637D-4866-A5C2-A9B57644B872/7DF35FBA-2360-4C38-9FCE-BC9CF5B94943.jpeg

 

 

 

演示到现在,大家可以发现在病历夹的云端,所有病例信息完全没有加密,而且完全是明文传输,黑客可以轻松获得,说好的HIPPA呢?

 

3.注册用户基本信息

 


而所有其他的科室学历数据,都可以通过查询“病历夹”的数据库获取,同样是没有任何加密的。

 

总结:

 

从上述所有的测试,大家可以发现,账号密码、患者信息未加密、医生个人信息等等,所有的信息都没有加密,全部都可以明文获得。连我们这种IT水平都可以轻松抓包分析,还要谈神马黑客吗?如此不堪一击的网络安全水平,哪里轮得到HIPPA之类的事情,连普通的网站也不如。Dr.2本来并不想指出这个问题,因为创业艰难,还好你们刚拿了1000万美金,你的投资人之一的徐小平,每天四处当青年人的精神导师,自诩为正人君子,说投资项目绝对要诚信,那么现在明摆着即使“被人打脸”,为了利益也一定会装聋作哑的!但是你们一直和全国的医生反复撒谎,让他们信以为真,还有好多人被你们重复了一千遍的谎言洗脑,拿这些说辞来教育我们,甚至我原来科室的主任都相信,你们是可以确保病历安全,并且不会挪作他用的,问题是,真相呢?同时这个问题根本不是现在出现的,而是自贵公司开始设计程序以来,从来就没有考虑过的事情,那怎么可以每天恬不知耻地重复这些谎言呢?即使现在想要更改,底层代码和加密规则又要重构,重新发布版本,以你们目前的技术实力再有半年都未必能够解决,已经变成了死结。

 

你可以欺骗辉瑞,你可以欺骗投资人,你可以欺骗媒体,但是你不应该欺骗你的医生用户(尤其确实有几千个重度用户),也不能昧着良心面对跟随自己的团队,是不是可以为了名与利,这些都可以抛弃了呢?杏哥,你的底线呢?有吗?

E药脸谱网
分享:
最新评论
精彩评论
暂无评论
提交
查询好友:
注:选择好友后只会分享给指定好友,不选择则分享到本站。