HackerNews 编译,转载请注明出处:
全球最大医疗合作社Unimed因暴露的Kafka实例导致数百万条医患对话泄露,内含患者上传的图片、文档等敏感信息。医疗数据作为个人最私密的资产之一,却始终难以幸免于数据泄露风险。
网络安全研究团队发现,巴西医疗巨头Unimed一处未受保护的Kafka实例暴露在公网。这家服务约1500万用户的行业领军企业,其聊天机器人“Sara”及真实医患间的对话通过该开源实时数据传输平台持续外泄。研究人员成功拦截逾14万条聊天记录,而实例日志显示至少1400万条信息曾以不安全方式传输。
“此次泄露的医疗机密信息极其敏感,”研究人员警告,“攻击者可能利用这些数据实施歧视及针对性仇恨犯罪,更常见的手段包括身份盗用、医保诈骗、金融欺诈和钓鱼攻击。”泄露详情涵盖:
- 患者上传的图片及文档文字聊天内容患者姓名、电话号码及邮箱Unimed医疗卡号
医疗数据在黑市备受追捧,因其可被用于多重犯罪:除身份盗用和保险欺诈外,健康记录还能成为敲诈勒索或冒充患者的工具。更严峻的是,研究人员指出攻击者理论上可拦截、篡改甚至删除特定用户的通信内容,其潜在危害难以估量。
Unimed在接到通报后已关闭暴露实例。为防范类似事件,研究团队建议:
- 严格限制Kafka实例访问权限,仅允许授权消费者与生产者连接启用IP白名单机制激活平台内置的认证授权功能
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
