近日,一起涉及医护人员敏感信息的大规模数据泄露事件被发现,总部位于新泽西州的健康科技公司ESHYFT的超过8.6万条记录被暴露。
网络安全研究员 Jeremiah Fowler 发现了一个未受保护的 AWS S3 存储桶,其中包含约 108.8 GB 的数据,这些数据缺乏密码保护或加密,导致医护人员的私人信息可以公开访问。
配置错误的云存储中包含了高度敏感的个人身份信息(PII),包括个人照片、工作日程、专业证书以及可能受《健康保险可携性和责任法案》(HIPAA)保护的医疗文件,这让遍布29个州的医护人员面临重大风险。
泄露的敏感数据
未受保护的AWS S3存储桶中包含了86,341条记录,大多数文件存储在一个名为“App”的文件夹中。
在调查过程中,Fowler发现了多种包含敏感信息的文件类型,包括用户的头像照片、记录每月工作日程的CSV文件、专业证书、工作分配协议以及包含额外PII的简历。
病历文件中包含PII、医生数据及其他信息
其中一份电子表格文件包含了超过80万条记录,详细记录了护士的内部ID、工作机构名称、值班日期和时间以及工作时长,构成了医护人员的完整数据集。
最令人担忧的是,一些医疗文件被上传作为缺勤或病假的证明,这些文件包含诊断、处方和治疗信息,可能属于HIPAA的保护范围。
在发现暴露的S3存储桶后,Fowler立即按照标准安全研究协议向ESHYFT发送了责任披露通知。
尽管泄露的数据至关重要,但数据库的公开访问权限仅在初次通知一个多月后才被限制。ESHYFT在收到通知后简短回应:“谢谢!我们正在积极调查并寻找解决方案。”
目前尚不清楚配置错误的AWS S3存储桶是由ESHYFT直接管理还是通过第三方承包商管理,也无法确定数据在被发现前暴露了多久,或是否有未经授权的方在暴露期间访问了数据。
数据泄露的影响与建议
ESHYFT运营着一个移动平台,旨在将医疗机构与持证护士助理(CNAs)、持证实践护士(LPNs)以及注册护士(RNs)等合格护理专业人员连接起来。
该平台允许护士根据日程选择班次,同时为医疗机构提供经过筛选的W-2护理人员。该平台在美国29个州提供服务,包括加利福尼亚、佛罗里达、乔治亚和新泽西,是解决医护人员短缺问题的重要技术手段。
此次数据泄露事件发生在医护人员短缺问题日益严重的背景下,卫生资源与服务管理局预计,到2027年,美国注册护士的缺口将达到10%。
随着医疗机构越来越依赖技术平台来解决人员短缺问题,线下医疗服务与在线技术的整合带来了亟需解决的新安全漏洞。
预防类似的AWS S3存储桶配置错误,健康科技公司应实施严格的访问控制,遵循最小权限原则,启用默认加密存储所有数据,并利用AWS的安全功能如Amazon Macie来检测敏感数据。
安全专家建议对敏感数据实施强制加密协议,并定期进行安全审计以识别云基础设施中的潜在漏洞。根据数据敏感性分级存储尤为重要,在本案例中,用户头像照片和医疗文件被存储在同一文件夹中,尽管它们的敏感性分类截然不同。
一些措施如启用多因素认证(MFA)和清理访问权限、数据和活动日志,拒绝数据跟踪和公开共享,可以大幅降低数据泄露的风险。组织也应制定明确的数据泄露响应计划,并设立专门的沟通渠道报告安全事件。
