I dati medici legati a circa 500.000 cittadini britannici sono stati brevemente messi in vendita online, scatenando un’indagine governativa e rinnovando le preoccupazioni su come vengano gestite le informazioni sanitarie sensibili.
I dati provengono dalla UK Biobank, un progetto di ricerca su larga scala che raccoglie informazioni genetiche, biologiche e sullo stile di vita da volontari per supportare studi su malattie come il cancro, la demenza e le patologie cardiache.
Secondo i funzionari, il dataset è apparso in molteplici inserzioni su piattaforme gestite da Alibaba. Il governo britannico ha confermato che le informazioni erano state pubblicizzate da diversi venditori, suscitando allarme su come i dati siano stati consultati e distribuiti.
Sebbene i dati esposti non includessero identificatori diretti come nomi, indirizzi o numeri di telefono, contenevano comunque dettagli sensibili. Questi includevano informazioni su genere, età, nascita, indicatori socioeconomici, abitudini di vita e misurazioni derivate da campioni biologici. Le autorità hanno avvertito che anche i dataset anonimizzati possono comportare rischi per la privacy, specialmente se combinati con altre fonti di dati.
Le indagini suggeriscono che i dati erano originariamente condivisi con ricercatori di tre istituzioni accademiche sotto accordi legittimi. Tuttavia, ora si ritiene che tali istituzioni siano collegate alla violazione e che il loro accesso al dataset è stato revocato.
Sia le autorità britanniche che cinesi hanno agito rapidamente per rimuovere le inserzioni, e i funzionari hanno dichiarato che non ci sono prove che siano stati effettivamente acquistati dati prima di essere rimossi. Nonostante ciò, l’incidente è stato descritto come una grave violazione della fiducia, soprattutto data la natura volontaria della partecipazione al progetto Biobank.
Il caso ha anche riacceso preoccupazioni sulla sicurezza dei database sanitari su larga scala. Rapporti precedenti indicavano che i dati di Biobank erano stati esposti online in più occasioni, spesso a causa della cattiva gestione dei dataset da parte dei ricercatori piuttosto che di attacchi informatici diretti.
In risposta, l’organizzazione ha sospeso l’accesso alla sua piattaforma, introdotto un monitoraggio più rigoroso delle esportazioni dei dati e avviato un’indagine completa. Si prevede ulteriori salvaguardie per limitare la quantità di dati che i ricercatori possono scaricare e per rilevare più rapidamente attività sospette.
La violazione mette in evidenza un problema più ampio che riguarda i sistemi di ricerca moderni: bilanciare la collaborazione scientifica aperta con la necessità di controllare strettamente i dati personali altamente sensibili.