> 首页 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

美国宾夕法尼亚州近15万成瘾康复患者的个人信息遭到泄露

2019-06-10
据近期外媒报道,一起由于ElasticSearch存在未授权访问而导致的数据泄露事件,导致超过491万份记载成瘾康复患者的个人身份信息的文件被长期公开放置在网络上,据发现此次事件的安全机构表示,整个数据泄露周期从2016年中期至2018年末。

Cloudflare的Trust and Safety总监Justin Paine在使用Shodan搜索暴露在互联网上的设备时发现了这个ElasticSearch,其中有大约两个索引的敏感数据,总大小为1.45GB。

Paine在发现了这一情况后,立马寻找其所有者,最后发现是位于宾夕法尼亚州Levittown的成瘾治疗中心。

他很快联系了康复中心和他们的托管服务提供商,虽然康复中心还没有回复,但他们的托管服务提供商表示会立马通知他们的客户,并迅速采取行动禁止他人访问数据库。

我在名为"infcharges"的索引中随机观测了5,000条数据,发现其中大概包含267个患者的信息——比例大约为5.34%。假设这就是平均比例,那这个ElasticSearch大约有146,316名患者的信息。当然,这个比例很有可能是错误的。

虽然此次事件中泄漏的个人隐私数据量并非闻所未闻,但由于都属于康复治疗中心的成瘾患者,所以这些数据比以往泄露的个人信息更加敏感,对那些患者来说,这些数据都是“耻辱”的象征。

任何人一旦找到这个ElasticSearch,就可获取全部信息。而且不管是寻找ElasticSearch,还是抓取这些信息,都不需要复杂的技术。这些敏感信息中包含患者姓名,对应的治疗程序,治疗费用,以及他们接受治疗时所使用的具体设备。

除此之外,攻击者更可以配合谷歌搜索,轻松收集特定患者的更多信息。

正如Paine所指出的,只要通过简单的谷歌搜索,就能获得“病人的年龄,出生日期,地址,过去的地址,患者家属的姓名,他们的关系,可能的电话号码和电子邮件地址”等等 。

而最糟糕的是,康复中心还没有拿出对应的应急响应措施,也没有通知他们的患者这一数据泄露事件。

内容来源:白帽汇、bleepingcomputer
https://nosec.org/home/detail/2509.html
https://www.bleepingcomputer.com/news/security/medical-information-of-almost-150k-rehab-patients-exposed/

数据泄露事件一旦发生,就会对企业和用户都造成极大的伤害。对我国而言,数据库产品的国产化事关国家安全,实现自主可控关乎国家安全战略,基础软件是一个国家信息化发展的安全根基,长期依赖国外技术存在重大隐患,数据库亦然如此。

国产数据库优炫数据库在在安全保密、统计、知识产权、银行等行业颇受欢迎,在多年的“实战”积累中不断创新,新版本发布又带来了哪些突破?快来2019软博会,和我们进行一场面对面的交流吧!