HackerNews 编译,转载请注明出处:
Cybernews 研究人员发现了一起影响美国公民医疗数据的大规模泄露事件。大约 270 万名患者的资料和 880 万条预约记录对任何知道查看位置的人来说都是完全开放的。
此次泄露是由一个未设置安全防护的 MongoDB 数据库引起的。数据所有者尚未得到官方确认,但数据库中埋藏的线索指向了 Gargle 公司。
该公司专门为牙科诊所提供营销、搜索引擎优化(SEO)和网站开发服务。虽然 Gargle 本身并非医疗保健提供者,但其业务模式依赖于处理面向患者的基础设施,在此案例中,可能还包括患者数据。
目前尚不清楚该数据库暴露了多长时间,或者在锁定之前谁可能访问过它。在 Cybernews 告知该公司有关泄露事件后,该数据集已被保护起来。目前尚未收到该公司的评论。
泄露了哪些数据?
- 姓名出生日期电子邮件地址住址电话号码性别病历 ID语言偏好账单详情包含患者元数据、时间戳和机构参考信息的预约记录
泄露是如何发生的?
MongoDB 数据库为数以千计的现代网络应用程序提供支持,从电子商务平台到医疗门户网站。在此案例中,泄露很可能源于一个常见且常被忽视的漏洞:由于人为错误,数据库在没有适当身份验证的情况下被暴露。
正如 Cybernews 的研究所示,这是一个持续困扰着各种规模和行业的公司的盲点。Gargle 在其网站上强调,其设计的 SEO 优化网站通过鼓励用户预约来提升转化率。
该公司还提供实时预约安排、患者沟通、支付处理和在线表格提交等集成服务。所有这些服务都是关键接触点,如果未进行安全配置,就可能成为攻击者的入口。暴露的医疗数据很可能与这些第三方服务相关的内部基础设施中泄露。
泄露的医疗数据如何被利用?
泄露的数据集包含属于美国患者的深度敏感信息:已验证的手机号码、家庭住址、账单分类和机构 ID。孤立地看,其中任何一个数据点可能危害不大。但捆绑在一起,它们就构成了个人身份的全面蓝图。这类数据为各种滥用行为打开了大门。身份盗窃是唾手可得的果实,攻击者可以冒充受害者以获取经济利益。
有了医疗数据,风险就变得严重得多。威胁行为者可以利用这些信息进行保险欺诈或医疗身份盗窃。受害者还容易受到精心设计的钓鱼攻击和社会工程攻击。如此大规模的泄露事件,引发了关于其不遵守《健康保险流通与责任法案》(HIPAA)的严重质疑。根据该法规,处理患者数据的公司有法律义务采取严格的安全措施来保护数据。
应对策略
该公司应通知受影响的个人,并按照 HIPAA 要求公开披露此事件。如果您最近有牙科预约,并怀疑您的数据可能受到此次泄露的影响,请警惕钓鱼攻击。对任何提及医疗保健提供者或医疗历史的不请自来的电子邮件要格外小心。请密切关注您的医疗和保险记录,留意未经授权的索赔或活动迹象,并考虑注册身份盗窃监控服务。
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
