'Uber สำหรับพยาบาล' เผยเหตุข้อมูลเวชระเบียนและข้อมูลระบุตัวตนส่วนบุคคลกว่า 86,000 รายการรั่วไหลผ่านบัคเก็ต S3 ที่เปิดสาธารณะ

 (websiteplanet.com)
1 คะแนน โดย GN⁺ 2025-03-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

บันทึกหลายพันรายการรวมถึง PII ถูกเปิดเผยบนออนไลน์

  • ฐานข้อมูลของบริษัทเฮลท์เทคในรัฐนิวเจอร์ซีย์ชื่อ ESHYFT ถูกเปิดเผยโดยไม่มีการป้องกันด้วยรหัสผ่าน บริษัทนี้เชื่อมต่อสถานพยาบาลกับพยาบาลผ่านแพลตฟอร์มแอปมือถือ
  • ฐานข้อมูลที่รั่วไหลมี 86,341 รายการ คิดเป็นขนาดรวม 108.8GB ภายในมีรูปโปรไฟล์ผู้ใช้ บันทึกตารางเวร ใบรับรองวิชาชีพ สัญญาการทำงาน และเรซูเม่
  • เอกสารบางส่วนยังมีเอกสารทางการแพทย์ที่รวมการวินิจฉัย ใบสั่งยา และข้อมูลการรักษาไว้ด้วย ซึ่งอาจเข้าข่ายละเมิดข้อกำหนด HIPAA
  • ฐานข้อมูลดังกล่าวดูเหมือนจะเป็นของ ESHYFT ผู้ค้นพบได้แจ้งบริษัทแล้ว และหนึ่งเดือนต่อมาก็มีการจำกัดการเข้าถึง

บทบาทและความสำคัญของ ESHYFT

  • ESHYFT ให้บริการแพลตฟอร์มมือถือที่เชื่อมสถานพยาบาลกับพยาบาล และดำเนินงานใน 29 รัฐ
  • แอปนี้ช่วยให้พยาบาลเลือกเวรที่เหมาะกับตารางของตนเองได้ และช่วยให้สถานพยาบาลเข้าถึงบุคลากรพยาบาลที่ผ่านการตรวจสอบแล้ว
  • มียอดดาวน์โหลดมากกว่า 50,000 ครั้งบน Google Play Store

ความเสี่ยงจากการเปิดเผยข้อมูลส่วนบุคคล

  • การเปิดเผยข้อมูลระบุตัวตนส่วนบุคคล (PII) ข้อมูลเงินเดือน และประวัติการทำงาน อาจสร้างความเสี่ยงและช่องโหว่ร้ายแรงทั้งต่อบุคคลและองค์กรนายจ้าง
  • เมื่อข้อมูลอย่างบัตรประจำตัวและที่อยู่ถูกรวมเข้าด้วยกัน อาชญากรไซเบอร์อาจนำไปใช้ขโมยตัวตนหรือก่อโกงทางการเงินได้
  • ข้อมูลที่รั่วไหลอาจถูกนำไปใช้ในแคมเปญฟิชชิง เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลส่วนตัวหรือข้อมูลการเงินเพิ่มเติม

คำแนะนำในการเสริมความปลอดภัย

  • บริษัทเฮลท์เทคและผู้ให้บริการซอฟต์แวร์ทางการแพทย์ควรใช้มาตรการความมั่นคงปลอดภัยไซเบอร์เชิงรุกเพื่อปกป้องข้อมูลและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
  • ควรกำหนดให้ใช้โปรโตคอลการเข้ารหัสสำหรับข้อมูลอ่อนไหว และมีการตรวจสอบความปลอดภัยของโครงสร้างพื้นฐานภายในเป็นประจำ
  • ข้อมูลอ่อนไหวควรถูกทำให้ไม่สามารถระบุตัวตนได้เท่าที่ทำได้ และข้อมูลที่ไม่ถูกใช้งานควรถูกจำกัดการจัดเก็บด้วยการกำหนดวันหมดอายุ
  • ควรกำหนดให้ใช้การยืนยันตัวตนหลายปัจจัย (MFA) เพื่อไม่ให้เข้าถึงได้ง่ายแม้ข้อมูลรับรองของผู้ใช้จะรั่วไหล
  • ควรมีแผนรับมือเหตุข้อมูลรั่วไหลและช่องทางสื่อสารเฉพาะสำหรับการรายงานเหตุการณ์ด้านความปลอดภัย

บทสรุป

  • เมื่อเกิดข้อมูลรั่วไหล ควรมีการแจ้งเตือนอย่างรวดเร็วและมีความรับผิดชอบไปยังทุกคนที่อาจได้รับผลกระทบ
  • ผู้ใช้ควรได้รับการให้ความรู้เกี่ยวกับวิธีสังเกตความพยายามฟิชชิง ซึ่งเป็นประโยชน์ทั้งต่อผู้ให้บริการและผู้ใช้
  • รายงานนี้จัดทำขึ้นเพื่อวัตถุประสงค์ด้านการศึกษา และไม่ได้สะท้อนถึงการถูกทำลายความสมบูรณ์ของข้อมูลจริง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-03-14
ความคิดเห็นบน Hacker News
  • เมื่อไม่นานมานี้ได้ยินเกี่ยวกับบริษัทแห่งหนึ่ง ซึ่งตรวจดูระดับหนี้ของบุคคลผ่านรายงานเครดิตก่อนเสนอการทำงานให้ และใช้ข้อมูลนั้นกดอัตราค่าจ้างรายชั่วโมงให้ต่ำลง
    • ถ้ามีผลลบตามมาจากการละเมิดแบบนี้ พวกเขาก็ควรได้รับผลนั้นอย่างสาสม
  • ในส่วนนโยบายความเป็นส่วนตัวหัวข้อความปลอดภัยของข้อมูลของพวกเขาระบุไว้ดังนี้
    • เราใช้มาตรการป้องกันบางอย่างทั้งด้านกายภาพ การบริหารจัดการ และเทคนิค เพื่อปรับปรุงความถูกต้องสมบูรณ์และความปลอดภัยของข้อมูลที่เราเก็บรวบรวมและดูแลรักษา
    • ไม่มีมาตรการรักษาความปลอดภัยใดที่สมบูรณ์แบบหรือไม่อาจถูกเจาะได้
    • ไม่ได้ออกแบบมาเพื่อจัดเก็บหรือปกป้องข้อมูลที่อาจถือเป็นข้อมูลสุขภาพที่ได้รับความคุ้มครองตามที่กำหนดใน HIPAA
    • สงสัยว่าพวกเขาจะหลีกเลี่ยงความรับผิดได้หรือไม่โดยอ้างว่าระบบไม่ได้ถูกออกแบบให้สอดคล้องกับ HIPAA
  • ผู้คนสับสนเพราะระดับอำนาจของผู้เชี่ยวชาญทางการแพทย์
    • ไม่ควรให้หมายเลขประกันสังคมกับแพทย์หรือโรงพยาบาลเด็ดขาด
    • เวลาพวกเขาต้องการยืนยันตัวตน ไม่ได้แปลว่าควรให้สแกนหรือถ่ายรูปไว้
    • แพทย์และโรงพยาบาลอ่อนแอมากในเรื่องความปลอดภัยของข้อมูล
  • อุตสาหกรรมการแพทย์โดยรวมมีปัญหามาก
    • โรงพยาบาลราคาถูกที่เป็นของบริษัทไม่จ้างพยาบาลเป็นพนักงานประจำ
    • ความราคาถูกทำให้โรงพยาบาลหันมาใช้แอปนี้ และอาจมีการให้เงินตอบแทนแก่ผู้บริหารที่อนุมัติด้วย
    • ESHYFT ควรล้มละลาย แต่ก็น่าจะไม่มีอะไรเกิดขึ้น
  • สงสัยว่า S3 bucket นี้เก่าแค่ไหน
    • AWS ตั้งค่า S3 bucket ใหม่ให้เป็นแบบส่วนตัวโดยค่าเริ่มต้นแล้ว
    • อาจเป็นของเก่า หรืออาจเปิดทิ้งไว้อย่างมักง่ายเพราะอัปโหลด/ดาวน์โหลดไฟล์จากแอปมือถือหรือบริการไม่ได้
  • สงสัยว่าควรโทษ AWS หรือไม่
    • ขั้นตอนด้านความปลอดภัยแบบที่ใช้ตอนแฮ็กเล่นให้เพื่อนตอนตี 3 ไม่ควรถูกนำมาใช้กับผลิตภัณฑ์ที่โฮสต์ PII
    • การทำระบบความปลอดภัยข้อมูลขั้นพื้นฐานเป็นหน้าที่ของผู้ใช้
  • สงสัยว่าทำไมถึงใช้คำว่า "Uber for nurses" และไม่ใช้ชื่อบริษัทจริงในหัวข้อ
  • สงสัยว่านี่เป็นการแสร้งทำเป็นว่ายังมีหน่วยงานกำกับดูแลที่ยังทำงานได้จริงและอาจลงมือกับเรื่องนี้หรือไม่
  • เคยทำงานในสาย health tech และนี่เป็นปัญหาร้ายแรงมาก
    • มีค่าปรับต่อหนึ่งระเบียนผู้ป่วย และมันไม่ถูกเลย
    • มันจะถูกนำไปติดไว้บน "กำแพงแห่งความอับอาย" และคนที่จะมาทำธุรกิจด้วยในอนาคตก็จะเห็น
    • ถ้าพลาด คุณอาจต้องรับผิดเป็นการส่วนตัว
    • ที่ทำงานเก่าผมทำให้แน่ใจว่า PII จะไม่ถูกส่งผ่าน API และเก็บไว้ใน VPS ที่แยกออกจากระบบโดยสิ้นเชิง
    • เมื่อจำเป็นต้องใช้ระเบียน ก็จะใส่ไว้ใน S3 bucket และให้ลิงก์ชั่วคราวที่มีเพียงผู้เรียกเท่านั้นที่เข้าถึงได้
    • มันยุ่งยากมาก แต่ก็ทำให้นอนหลับได้อย่างสบายใจ
  • เคยอ่านงานวิจัยที่บอกว่าอาชีพที่ต้องอาศัยความทุ่มเทมากที่สุดมักเป็นงานที่ค่าจ้างต่ำ/ทำงานหนักเกินไปที่สุด
    • ตัวอย่าง: ครู พยาบาล นักดนตรี นักกีฬา