全美29州逾8.6萬(wàn)名醫(yī)護(hù)人員信息因AWS S3存儲(chǔ)桶配置錯(cuò)誤遭泄露
近日,一起涉及醫(yī)護(hù)人員敏感信息的大規(guī)模數(shù)據(jù)泄露事件被發(fā)現(xiàn),總部位于新澤西州的健康科技公司ESHYFT的超過(guò)8.6萬(wàn)條記錄被暴露。
網(wǎng)絡(luò)安全研究員 Jeremiah Fowler 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 AWS S3 存儲(chǔ)桶,其中包含約 108.8 GB 的數(shù)據(jù),這些數(shù)據(jù)缺乏密碼保護(hù)或加密,導(dǎo)致醫(yī)護(hù)人員的私人信息可以公開訪問(wèn)。
配置錯(cuò)誤的云存儲(chǔ)中包含了高度敏感的個(gè)人身份信息(PII),包括個(gè)人照片、工作日程、專業(yè)證書以及可能受《健康保險(xiǎn)可攜性和責(zé)任法案》(HIPAA)保護(hù)的醫(yī)療文件,這讓遍布29個(gè)州的醫(yī)護(hù)人員面臨重大風(fēng)險(xiǎn)。
泄露的敏感數(shù)據(jù)
未受保護(hù)的AWS S3存儲(chǔ)桶中包含了86,341條記錄,大多數(shù)文件存儲(chǔ)在一個(gè)名為“App”的文件夾中。
在調(diào)查過(guò)程中,F(xiàn)owler發(fā)現(xiàn)了多種包含敏感信息的文件類型,包括用戶的頭像照片、記錄每月工作日程的CSV文件、專業(yè)證書、工作分配協(xié)議以及包含額外PII的簡(jiǎn)歷。
病歷文件中包含PII、醫(yī)生數(shù)據(jù)及其他信息
其中一份電子表格文件包含了超過(guò)80萬(wàn)條記錄,詳細(xì)記錄了護(hù)士的內(nèi)部ID、工作機(jī)構(gòu)名稱、值班日期和時(shí)間以及工作時(shí)長(zhǎng),構(gòu)成了醫(yī)護(hù)人員的完整數(shù)據(jù)集。
最令人擔(dān)憂的是,一些醫(yī)療文件被上傳作為缺勤或病假的證明,這些文件包含診斷、處方和治療信息,可能屬于HIPAA的保護(hù)范圍。
在發(fā)現(xiàn)暴露的S3存儲(chǔ)桶后,F(xiàn)owler立即按照標(biāo)準(zhǔn)安全研究協(xié)議向ESHYFT發(fā)送了責(zé)任披露通知。
盡管泄露的數(shù)據(jù)至關(guān)重要,但數(shù)據(jù)庫(kù)的公開訪問(wèn)權(quán)限僅在初次通知一個(gè)多月后才被限制。ESHYFT在收到通知后簡(jiǎn)短回應(yīng):“謝謝!我們正在積極調(diào)查并尋找解決方案。”
目前尚不清楚配置錯(cuò)誤的AWS S3存儲(chǔ)桶是由ESHYFT直接管理還是通過(guò)第三方承包商管理,也無(wú)法確定數(shù)據(jù)在被發(fā)現(xiàn)前暴露了多久,或是否有未經(jīng)授權(quán)的方在暴露期間訪問(wèn)了數(shù)據(jù)。
數(shù)據(jù)泄露的影響與建議
ESHYFT運(yùn)營(yíng)著一個(gè)移動(dòng)平臺(tái),旨在將醫(yī)療機(jī)構(gòu)與持證護(hù)士助理(CNAs)、持證實(shí)踐護(hù)士(LPNs)以及注冊(cè)護(hù)士(RNs)等合格護(hù)理專業(yè)人員連接起來(lái)。
該平臺(tái)允許護(hù)士根據(jù)日程選擇班次,同時(shí)為醫(yī)療機(jī)構(gòu)提供經(jīng)過(guò)篩選的W-2護(hù)理人員。該平臺(tái)在美國(guó)29個(gè)州提供服務(wù),包括加利福尼亞、佛羅里達(dá)、喬治亞和新澤西,是解決醫(yī)護(hù)人員短缺問(wèn)題的重要技術(shù)手段。
此次數(shù)據(jù)泄露事件發(fā)生在醫(yī)護(hù)人員短缺問(wèn)題日益嚴(yán)重的背景下,衛(wèi)生資源與服務(wù)管理局預(yù)計(jì),到2027年,美國(guó)注冊(cè)護(hù)士的缺口將達(dá)到10%。
隨著醫(yī)療機(jī)構(gòu)越來(lái)越依賴技術(shù)平臺(tái)來(lái)解決人員短缺問(wèn)題,線下醫(yī)療服務(wù)與在線技術(shù)的整合帶來(lái)了亟需解決的新安全漏洞。
預(yù)防類似的AWS S3存儲(chǔ)桶配置錯(cuò)誤,健康科技公司應(yīng)實(shí)施嚴(yán)格的訪問(wèn)控制,遵循最小權(quán)限原則,啟用默認(rèn)加密存儲(chǔ)所有數(shù)據(jù),并利用AWS的安全功能如Amazon Macie來(lái)檢測(cè)敏感數(shù)據(jù)。
安全專家建議對(duì)敏感數(shù)據(jù)實(shí)施強(qiáng)制加密協(xié)議,并定期進(jìn)行安全審計(jì)以識(shí)別云基礎(chǔ)設(shè)施中的潛在漏洞。根據(jù)數(shù)據(jù)敏感性分級(jí)存儲(chǔ)尤為重要,在本案例中,用戶頭像照片和醫(yī)療文件被存儲(chǔ)在同一文件夾中,盡管它們的敏感性分類截然不同。
一些措施如啟用多因素認(rèn)證(MFA)和清理訪問(wèn)權(quán)限、數(shù)據(jù)和活動(dòng)日志,拒絕數(shù)據(jù)跟蹤和公開共享,可以大幅降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。組織也應(yīng)制定明確的數(shù)據(jù)泄露響應(yīng)計(jì)劃,并設(shè)立專門的溝通渠道報(bào)告安全事件。
