近日，一起涉及醫(yī)護(hù)人員敏感信息的大規(guī)模數(shù)據(jù)泄露事件被發(fā)現(xiàn)，總部位于新澤西州的健康科技公司ESHYFT的超過8.6萬條記錄被暴露。

網(wǎng)絡(luò)安全研究員 Jeremiah Fowler 發(fā)現(xiàn)了一個(gè)未受保護(hù)的 AWS S3 存儲(chǔ)桶，其中包含約 108.8 GB 的數(shù)據(jù)，這些數(shù)據(jù)缺乏密碼保護(hù)或加密，導(dǎo)致醫(yī)護(hù)人員的私人信息可以公開訪問。

配置錯(cuò)誤的云存儲(chǔ)中包含了高度敏感的個(gè)人身份信息（PII），包括個(gè)人照片、工作日程、專業(yè)證書以及可能受《健康保險(xiǎn)可攜性和責(zé)任法案》（HIPAA）保護(hù)的醫(yī)療文件，這讓遍布29個(gè)州的醫(yī)護(hù)人員面臨重大風(fēng)險(xiǎn)。

泄露的敏感數(shù)據(jù)

未受保護(hù)的AWS S3存儲(chǔ)桶中包含了86,341條記錄，大多數(shù)文件存儲(chǔ)在一個(gè)名為“App”的文件夾中。

在調(diào)查過程中，F(xiàn)owler發(fā)現(xiàn)了多種包含敏感信息的文件類型，包括用戶的頭像照片、記錄每月工作日程的CSV文件、專業(yè)證書、工作分配協(xié)議以及包含額外PII的簡(jiǎn)歷。

病歷文件中包含PII、醫(yī)生數(shù)據(jù)及其他信息

其中一份電子表格文件包含了超過80萬條記錄，詳細(xì)記錄了護(hù)士的內(nèi)部ID、工作機(jī)構(gòu)名稱、值班日期和時(shí)間以及工作時(shí)長(zhǎng)，構(gòu)成了醫(yī)護(hù)人員的完整數(shù)據(jù)集。

最令人擔(dān)憂的是，一些醫(yī)療文件被上傳作為缺勤或病假的證明，這些文件包含診斷、處方和治療信息，可能屬于HIPAA的保護(hù)范圍。

在發(fā)現(xiàn)暴露的S3存儲(chǔ)桶后，F(xiàn)owler立即按照標(biāo)準(zhǔn)安全研究協(xié)議向ESHYFT發(fā)送了責(zé)任披露通知。

盡管泄露的數(shù)據(jù)至關(guān)重要，但數(shù)據(jù)庫的公開訪問權(quán)限僅在初次通知一個(gè)多月后才被限制。ESHYFT在收到通知后簡(jiǎn)短回應(yīng)：“謝謝！我們正在積極調(diào)查并尋找解決方案?！?/p>

目前尚不清楚配置錯(cuò)誤的AWS S3存儲(chǔ)桶是由ESHYFT直接管理還是通過第三方承包商管理，也無法確定數(shù)據(jù)在被發(fā)現(xiàn)前暴露了多久，或是否有未經(jīng)授權(quán)的方在暴露期間訪問了數(shù)據(jù)。

數(shù)據(jù)泄露的影響與建議

ESHYFT運(yùn)營(yíng)著一個(gè)移動(dòng)平臺(tái)，旨在將醫(yī)療機(jī)構(gòu)與持證護(hù)士助理（CNAs）、持證實(shí)踐護(hù)士（LPNs）以及注冊(cè)護(hù)士（RNs）等合格護(hù)理專業(yè)人員連接起來。

該平臺(tái)允許護(hù)士根據(jù)日程選擇班次，同時(shí)為醫(yī)療機(jī)構(gòu)提供經(jīng)過篩選的W-2護(hù)理人員。該平臺(tái)在美國(guó)29個(gè)州提供服務(wù)，包括加利福尼亞、佛羅里達(dá)、喬治亞和新澤西，是解決醫(yī)護(hù)人員短缺問題的重要技術(shù)手段。

此次數(shù)據(jù)泄露事件發(fā)生在醫(yī)護(hù)人員短缺問題日益嚴(yán)重的背景下，衛(wèi)生資源與服務(wù)管理局預(yù)計(jì)，到2027年，美國(guó)注冊(cè)護(hù)士的缺口將達(dá)到10%。

隨著醫(yī)療機(jī)構(gòu)越來越依賴技術(shù)平臺(tái)來解決人員短缺問題，線下醫(yī)療服務(wù)與在線技術(shù)的整合帶來了亟需解決的新安全漏洞。

預(yù)防類似的AWS S3存儲(chǔ)桶配置錯(cuò)誤，健康科技公司應(yīng)實(shí)施嚴(yán)格的訪問控制，遵循最小權(quán)限原則，啟用默認(rèn)加密存儲(chǔ)所有數(shù)據(jù)，并利用AWS的安全功能如Amazon Macie來檢測(cè)敏感數(shù)據(jù)。

安全專家建議對(duì)敏感數(shù)據(jù)實(shí)施強(qiáng)制加密協(xié)議，并定期進(jìn)行安全審計(jì)以識(shí)別云基礎(chǔ)設(shè)施中的潛在漏洞。根據(jù)數(shù)據(jù)敏感性分級(jí)存儲(chǔ)尤為重要，在本案例中，用戶頭像照片和醫(yī)療文件被存儲(chǔ)在同一文件夾中，盡管它們的敏感性分類截然不同。

一些措施如啟用多因素認(rèn)證（MFA）和清理訪問權(quán)限、數(shù)據(jù)和活動(dòng)日志，拒絕數(shù)據(jù)跟蹤和公開共享，可以大幅降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。組織也應(yīng)制定明確的數(shù)據(jù)泄露響應(yīng)計(jì)劃，并設(shè)立專門的溝通渠道報(bào)告安全事件。