> 首頁 > 關于優炫 > 公司動態 > 業界新聞 >

業界新聞

Industry News

美國賓夕法尼亞州近15萬成癮康復患者的個人信息遭到泄露

2019-06-10
據近期外媒報道,一起由于ElasticSearch存在未授權訪問而導致的數據泄露事件,導致超過491萬份記載成癮康復患者的個人身份信息的文件被長期公開放置在網絡上,據發現此次事件的安全機構表示,整個數據泄露周期從2016年中期至2018年末。

Cloudflare的Trust and Safety總監Justin Paine在使用Shodan搜索暴露在互聯網上的設備時發現了這個ElasticSearch,其中有大約兩個索引的敏感數據,總大小為1.45GB。

Paine在發現了這一情況后,立馬尋找其所有者,最后發現是位于賓夕法尼亞州Levittown的成癮治療中心。

他很快聯系了康復中心和他們的托管服務提供商,雖然康復中心還沒有回復,但他們的托管服務提供商表示會立馬通知他們的客戶,并迅速采取行動禁止他人訪問數據庫。

我在名為"infcharges"的索引中隨機觀測了5,000條數據,發現其中大概包含267個患者的信息——比例大約為5.34%。假設這就是平均比例,那這個ElasticSearch大約有146,316名患者的信息。當然,這個比例很有可能是錯誤的。

雖然此次事件中泄漏的個人隱私數據量并非聞所未聞,但由于都屬于康復治療中心的成癮患者,所以這些數據比以往泄露的個人信息更加敏感,對那些患者來說,這些數據都是“恥辱”的象征。

任何人一旦找到這個ElasticSearch,就可獲取全部信息。而且不管是尋找ElasticSearch,還是抓取這些信息,都不需要復雜的技術。這些敏感信息中包含患者姓名,對應的治療程序,治療費用,以及他們接受治療時所使用的具體設備。

除此之外,攻擊者更可以配合谷歌搜索,輕松收集特定患者的更多信息。

正如Paine所指出的,只要通過簡單的谷歌搜索,就能獲得“病人的年齡,出生日期,地址,過去的地址,患者家屬的姓名,他們的關系,可能的電話號碼和電子郵件地址”等等 。

而最糟糕的是,康復中心還沒有拿出對應的應急響應措施,也沒有通知他們的患者這一數據泄露事件。

內容來源:白帽匯、bleepingcomputer
https://nosec.org/home/detail/2509.html
https://www.bleepingcomputer.com/news/security/medical-information-of-almost-150k-rehab-patients-exposed/

數據泄露事件一旦發生,就會對企業和用戶都造成極大的傷害。對我國而言,數據庫產品的國產化事關國家安全,實現自主可控關乎國家安全戰略,基礎軟件是一個國家信息化發展的安全根基,長期依賴國外技術存在重大隱患,數據庫亦然如此。

國產數據庫優炫數據庫在在安全保密、統計、知識產權、銀行等行業頗受歡迎,在多年的“實戰”積累中不斷創新,新版本發布又帶來了哪些突破?快來2019軟博會,和我們進行一場面對面的交流吧!
海南环岛赛体彩规律