近日,美国新泽西州的一家健康科技公司ESHYFT发生了一起严重的数据泄露事件,超过86,000名医疗工作者的敏感信息因配置错误的AWS S3存储桶被公开暴露。网络安全研究员杰里米·福勒(Jeremiah Fowler)发现,该存储桶中约108.8GB的数据未设置密码保护或加密措施,导致大量医疗工作者的个人信息处于可公开访问的状态。
此次泄露的敏感信息包括个人身份信息(PII),如面部照片、工作排班表、专业证书、医疗文件等,其中部分信息可能受到美国《健康保险流通与责任法案》(HIPAA)的保护。这些数据涉及来自29个州的医疗工作者,包括护士、护理助理等,给相关人员带来了巨大的隐私风险。
福勒在调查中发现,该S3存储桶中的一个名为“App”的文件夹内存储了86,341条记录,文件类型丰富,包括用户面部图像、CSV格式的月度工作排班日志、工作协议、简历等。
其中一份电子表格包含超过80万条条目,详细记录了护士的内部ID、工作地点、轮班日期和时间以及工作时长,涵盖了医疗工作者的全面活动信息。更为严重的是,存储桶中还存在一些用于证明缺勤或病假的医疗文件,这些文件包含了诊断、处方和治疗信息,可能涉及HIPAA保护的内容。
福勒在发现该暴露的S3存储桶后,立即按照标准安全研究员协议向ESHYFT发送了负责任的披露通知。然而,尽管数据的敏感性极高,该数据库的公共访问权限在首次通知后的一个多月才被限制。ESHYFT在收到通知后仅以简短声明回应:“感谢!我们正在积极调查并寻找解决方案”。目前尚不清楚该S3存储桶是由ESHYFT直接管理还是通过第三方承包商管理,也没有关于数据在被发现之前暴露了多长时间,以及在暴露期间是否有未经授权的第三方访问的信息。
ESHYFT运营的移动平台在美国29个州(包括加利福尼亚州、佛罗里达州、乔治亚州和新泽西州)可用,并在苹果App Store和谷歌Play Store上架,下载量已超过5万次,显示出其在医疗专业人员中的广泛使用。医疗工作者数据的泄露不仅对个人隐私构成重大风险,还可能对关键医疗基础设施构成威胁,因为近年来网络犯罪分子一直将医院和医疗机构作为攻击目标。
资讯来源:cybersecuritynews
声明:本文来自看雪学苑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
