摘要
网络安全研究员 Jeremiah Fowler 发现了一个未受保护的 Care1 数据库,其中有超过 480 万份患者记录。
暴露的数据包括姓名、地址、病史和个人健康号码 (PHN)。
漏洞的责任及其持续时间仍不清楚。
医疗保健数据泄露事件日益增多,带来了巨大的隐私风险。
加强网络安全措施对保护敏感的患者信息至关重要。
网络安全研究员杰里迈亚-福勒(Jeremiah Fowler)最近发现了一个属于 Care1 的庞大数据库,Care1 是一家为验光师提供人工智能软件解决方案的加拿大公司。该数据库包含 480 多万条患者信息记录(总容量达 2.2 TB),却完全没有受到保护,从而暴露了患者姓名、地址、病史等敏感数据,甚至还暴露了他们独一无二的个人健康号码 (PHN)。
Care1 是一家专业的医疗保健技术公司,拥有 170 多家合作验光师,使用他们的软件管理着 15 万多名患者。他们利用先进的软件工程和广泛的合作网络,专门从事人工智能的眼科护理中断业务。
根据 vpnMentor 发布的 Fowler 的调查报告,暴露的数据包括详细的眼科检查报告,其中包含患者信息、医生笔记和图像。眼科检查报告为 PDF 格式,包括患者 PII、医生注释和图像。
此外,CSV 和 XLS 电子表格也是暴露数据库的一部分,其中列出了患者的家庭住址、个人健康号码 (PHN) 和其他健康相关信息,包括医生的意见和眼科检查图像。
请注意,在加拿大医疗系统中,个人健康号码(PHN)是一种唯一标识符,可确保所有医疗服务提供者都能获取患者的健康信息。虽然 PHN 本身可能不会直接导致财务欺诈,但它可以成为犯罪分子建立个人综合档案的宝贵信息。
目前还不清楚该数据库是由 Care1 直接拥有和管理,还是由第三方承包商处理。除非进行内部取证审计,否则也不清楚数据库暴露了多长时间,或是否被任何未经授权的个人访问过。根据 Fowler 的博客文章,他向公司发出了责任披露通知,并迅速限制了公众访问。
随着医疗保健行业越来越依赖数字系统,数据泄露的可能性也在增加。这种程度的暴露给患者带来了巨大的隐私风险,因为他们的医疗信息可能被滥用于身份盗窃或其他恶意活动。2023 年,福勒发现了一个属于印度医疗诊断公司 Redcliffe Labs 的无密码保护数据库,其中包含 1200 多万条记录,包括医疗扫描和测试结果等敏感的患者数据。
这些事件反映出医疗保健行业需要加强安全措施。像 Care1 这样处理敏感患者信息的公司必须优先采取严格的网络安全措施,包括强大的加密、访问控制和定期安全审计。
文章原文链接:https://www.anquanke.com/post/id/302739