近日，一起涉及醫(yī)護人員敏感信息的大規(guī)模數(shù)據(jù)泄露事件被發(fā)現(xiàn)，總部位于新澤西州的健康科技公司ESHYFT的超過8.6萬條記錄被暴露。

網(wǎng)絡安全研究員 Jeremiah Fowler 發(fā)現(xiàn)了一個未受保護的 AWS S3 存儲桶，其中包含約 108.8 GB 的數(shù)據(jù)，這些數(shù)據(jù)缺乏密碼保護或加密，導致醫(yī)護人員的私人信息可以公開訪問。

配置錯誤的云存儲中包含了高度敏感的個人身份信息（PII），包括個人照片、工作日程、專業(yè)證書以及可能受《健康保險可攜性和責任法案》（HIPAA）保護的醫(yī)療文件，這讓遍布29個州的醫(yī)護人員面臨重大風險。

泄露的敏感數(shù)據(jù)

未受保護的AWS S3存儲桶中包含了86,341條記錄，大多數(shù)文件存儲在一個名為“App”的文件夾中。

在調(diào)查過程中，F(xiàn)owler發(fā)現(xiàn)了多種包含敏感信息的文件類型，包括用戶的頭像照片、記錄每月工作日程的CSV文件、專業(yè)證書、工作分配協(xié)議以及包含額外PII的簡歷。

病歷文件中包含PII、醫(yī)生數(shù)據(jù)及其他信息

其中一份電子表格文件包含了超過80萬條記錄，詳細記錄了護士的內(nèi)部ID、工作機構名稱、值班日期和時間以及工作時長，構成了醫(yī)護人員的完整數(shù)據(jù)集。

最令人擔憂的是，一些醫(yī)療文件被上傳作為缺勤或病假的證明，這些文件包含診斷、處方和治療信息，可能屬于HIPAA的保護范圍。

在發(fā)現(xiàn)暴露的S3存儲桶后，F(xiàn)owler立即按照標準安全研究協(xié)議向ESHYFT發(fā)送了責任披露通知。

盡管泄露的數(shù)據(jù)至關重要，但數(shù)據(jù)庫的公開訪問權限僅在初次通知一個多月后才被限制。ESHYFT在收到通知后簡短回應：“謝謝！我們正在積極調(diào)查并尋找解決方案。”

目前尚不清楚配置錯誤的AWS S3存儲桶是由ESHYFT直接管理還是通過第三方承包商管理，也無法確定數(shù)據(jù)在被發(fā)現(xiàn)前暴露了多久，或是否有未經(jīng)授權的方在暴露期間訪問了數(shù)據(jù)。

數(shù)據(jù)泄露的影響與建議

ESHYFT運營著一個移動平臺，旨在將醫(yī)療機構與持證護士助理（CNAs）、持證實踐護士（LPNs）以及注冊護士（RNs）等合格護理專業(yè)人員連接起來。

該平臺允許護士根據(jù)日程選擇班次，同時為醫(yī)療機構提供經(jīng)過篩選的W-2護理人員。該平臺在美國29個州提供服務，包括加利福尼亞、佛羅里達、喬治亞和新澤西，是解決醫(yī)護人員短缺問題的重要技術手段。

此次數(shù)據(jù)泄露事件發(fā)生在醫(yī)護人員短缺問題日益嚴重的背景下，衛(wèi)生資源與服務管理局預計，到2027年，美國注冊護士的缺口將達到10%。

隨著醫(yī)療機構越來越依賴技術平臺來解決人員短缺問題，線下醫(yī)療服務與在線技術的整合帶來了亟需解決的新安全漏洞。

預防類似的AWS S3存儲桶配置錯誤，健康科技公司應實施嚴格的訪問控制，遵循最小權限原則，啟用默認加密存儲所有數(shù)據(jù)，并利用AWS的安全功能如Amazon Macie來檢測敏感數(shù)據(jù)。

安全專家建議對敏感數(shù)據(jù)實施強制加密協(xié)議，并定期進行安全審計以識別云基礎設施中的潛在漏洞。根據(jù)數(shù)據(jù)敏感性分級存儲尤為重要，在本案例中，用戶頭像照片和醫(yī)療文件被存儲在同一文件夾中，盡管它們的敏感性分類截然不同。

一些措施如啟用多因素認證（MFA）和清理訪問權限、數(shù)據(jù)和活動日志，拒絕數(shù)據(jù)跟蹤和公開共享，可以大幅降低數(shù)據(jù)泄露的風險。組織也應制定明確的數(shù)據(jù)泄露響應計劃，并設立專門的溝通渠道報告安全事件。