目录导航
介绍
SafetyDetectives 网络安全团队发现了影响日本医疗问答服务Doctors Me的数据泄露。
Doctors Me 是一个为客户提供按需访问专业医疗建议的网站。
该公司拥有的一个 Amazon S3 存储桶在没有适当的访问授权和身份验证控制的情况下处于开放状态,导致大约 12,000 人的敏感数据暴露在外。
Doctors Me 是在 Covid-19 大流行期间快速增长的行业的一部分。随着在线咨询服务变得越来越普遍,该存储桶的内容表明,患者需要小心他们通过医疗平台共享的图像。
特别是,儿童图像出现在 Doctors Me 的存储桶内容中,这带来了与此数据泄露相关的进一步风险。
谁是Doctors Me?
Doctors Me 是一家位于日本东京的私人公司。该公司运营着一个网站,https://doctors-me.com/,允许用户匿名上传他们的疾病、疾病或其他各种疾病的图片,以便接受医疗专家的咨询。
Doctors Me 提供健康和福祉各个领域的医学专家:医生、药剂师、营养师、牙医和顾问。该网站包含其他形式的内容,可帮助访问者自我评估他们的医疗状况,包括疾病和症状列表、问答部分、博客和常见医疗状况的健康检查表。
Doctors me 是一项负担得起的服务,提供 324 日元/月(~3 美元)和 540 日元/月(~5 美元)之间的付款计划。该网站也很受欢迎,每月有大约 70,000 名网络访问者(根据 Crunchbase)。
对该公司的各种引用,以及存储桶的内容,提供了它属于 Doctors Me 的证据。
什么数据泄露了?
Doctors Me 配置错误的 Amazon S3 存储桶总共暴露了 300,000 多个文件,相当于大约 30 GB 的数据。
该数据属于使用过doctors-me.com 提供的按需咨询服务的客户。
具体来说,不安全的存储桶包含 用户上传的症状照片。 在存储桶中可以找到数以万计的此类文件——超过 12,000 张图像是独一无二的。
症状照片暴露了 敏感客户数据的形式:
- (用户或其家属的)医疗状况图像; 包括皮疹、疮、牙齿问题、排泄物等;
- 人脸图像; 包含在症状图像中,其中许多是儿童;
- 动物图像;但是,包含在症状图像中的这些文件很少见。
存储在存储桶中的所有文件都是匿名上传的,尽管在某些情况下,可以通过他们的面部照片来识别个人。
Doctors Me 的 Amazon S3 存储桶在发现时处于活动状态并正在更新。正确保护存储桶是 Doctors Me 的责任,因此,亚马逊对这种数据暴露没有任何过错
您可以在下面看到这些图像的证据。警告:图像包含敏感内容。
Doctors Me 是一家日本公司,因此,我们假设开放的存储桶的大部分数据属于日本公民。
根据存储在存储桶中的唯一文件数量,我们估计约有 12,000 名用户受到此数据泄露的影响。
下表提供了 Doctors Me 数据暴露的完整细分。
| 暴露的文件数 | 300,000+ |
| 受影响的用户数 | 约 12,000 |
| 暴露的数据量 | 大约 30 GB |
| 公司所在地 | 日本 |
我们于 2021 年 11 月 11 日发现了开放的 Amazon S3 存储桶。我们在同一天向 Doctors Me 发送了一条消息。
2021 年 11 月 21 日,我们向 Doctors Me 发送了后续消息,并联系了日本计算机应急响应小组 (CERT)。2021 年 11 月 25 日,我们再次向日本 CERT 发送消息,并向 AWS 发送有关 Doctors Me 存储桶的消息。日本 CERT 告诉我们,他们会联系存储桶的所有者。我们于 2021 年 12 月 15 日和 2022 年 1 月 10 日向日本 CERT 发送了后续消息。他们于 2022 年 1 月 11 日回复,通知我们他们联系了 AWS。
Doctors Me、其客户以及包含在存储桶内容中的任何其他人都可能因此次数据泄露而面临各种影响。
数据泄露影响
我们不能也不知道恶意行为者是否在亚马逊存储桶开放时访问了它的内容。
但是,如果恶意人员看到或下载了 Doctors Me 的存储桶,则可能存在若干风险。Exposed Doctors Me 用户和任何暴露的儿童都可能经历各种形式的犯罪。
与此同时,Doctors Me 可能会因其存储桶配置错误而面临法律制裁。
对客户的影响
客户可能会面临侵犯隐私、敲诈和潜在的露骨图像传播。
侵犯隐私
犯罪分子可能会识别出Doctors Me 的顾客和任何其他在桶上刻有他们的脸或独特的可识别特征(即独特的纹身)的家属。如果用户的一张医学照片被上传到多个其他平台(即社交媒体网站或医学论坛),黑客也可以识别用户。
因此,开放的 AWS S3 存储桶侵犯了用户的隐私。暴露敏感的医疗信息可能会对用户的日常生活产生严重影响。
暴露在外的人可能会对自己的健康状况感到尴尬和焦虑,如果其他人发现,可能会面临嘲笑和名誉受损。在某些情况下,暴露敏感的医疗数据最终会影响某人的个人关系、约会生活和工作机会。
如果任何不良行为者发现 Doctors Me 的开放式存储桶,暴露的用户也可能会被勒索。
勒索
医疗状况对于相关个人来说是一件极其私密且常常令人尴尬的事情。该存储桶包含非常个人化的图形疾病图片——Doctors Me 客户可能希望自己保留的信息,这是正确的。这就是 Doctors Me 将其网站描述为“匿名服务”的原因。
提供咨询的医疗专业人员可能对识别图片中包含的个人没有任何兴趣。但是,犯罪分子可能会将存储桶中的用户视为易受攻击的目标。
不良行为者可以识别用户并利用每个用户的医疗状况的隐私来勒索他们的钱。
尽管我们在样本中没有看到这方面的证据,但 Doctors Me 的存储桶可能包含用户身体的裸露和私密区域的图像。同样,犯罪分子可以利用这些内容的隐私向用户勒索钱财。
具体来说,犯罪分子可以针对可识别的用户进行勒索——威胁要分发私人图像,除非向犯罪分子支付金钱费用。
曝光未成年人照片分布
该存储桶还包含儿童及其症状的图片。有时,这些图像会显示孩子身体的私人区域,以显示医疗状况。
不幸的是,暴露的未成年人的存在表明掠食者可能会对桶的内容感兴趣。掠夺者可以访问存储桶的内容以下载或分发这些图像。
婴儿和儿童通常很小,以至于他们的整个身体和脸部都可以融入一张照片。例如,婴儿腹部皮疹的图片也可以显示孩子的脸。这意味着,令人不安的是,照片中的许多孩子都可以在存储桶上辨认出来。捕食者可以使用这些信息来跟踪儿童或在网络空间之外造成进一步的损害。
对医生的影响
日本的数据保护法是个人信息保护法 (APPI)。APPI 中规定的法律框架由个人信息保护委员会 (PIPC) 管理。
APPI 要求组织正确、安全地处理、存储和分发日本公民的个人身份信息 (PII) 和敏感数据。任何违反该立法的行为都可能导致对“信息处理者”的制裁和/或惩罚。
PIPC 可以对任何有罪的员工处以最高一年的监禁或 100 万日元(约 9,000 美元)的罚款。如果 PIPC 发现该公司违反了 APPI 中概述的监管准则,它可以向 Doctors Me 处以最高 1 亿日元(约合 900,000 美元)的罚款。
除了任何监管制裁或惩罚外,数据主体(即信息泄露的日本公民)有权要求赔偿因数据丢失或泄露而造成的任何损害。
防止数据泄露
用户可以采取哪些措施来保护他们的数据安全?可以做些什么来减轻数据泄露的潜在破坏性后果?
在我们列出一些可行的提示之前,我们应该首先提到医疗咨询平台的用户需要采取特定的预防措施——这些平台需要敏感内容,而且它们变得越来越普遍。
患者应避免描绘可识别信息,例如姓名标签或个人 ID,并且患者应尽可能避免描绘他们(或他们孩子)的脸。如果对咨询不是必需的,则患者不应包括亲密图像。
以下是一些防止数据泄露的一般提示:
- 仅将您的个人信息提供给您 100% 信任的个人、组织或实体。
- 仅访问具有安全域的网站(即域名开头带有“https”和/或封闭锁符号的网站)。
- 在提供您最重要的个人信息形式(例如您的社会安全号码)时要小心谨慎。
- 提供网站要求的最少量数据,例如,如果需要扫描身份证来验证您的年龄,请在提交图片之前模糊地址数据、身份证号码和有效期。
- 创建使用字母、数字和符号组合的超级安全密码。定期更新您现有的密码。
- 除非您确定来源是合法的,否则不要点击电子邮件(或互联网上的任何其他地方)中的链接。
- 在社交媒体网站上编辑您的隐私设置。确保您的内容仅对朋友和受信任的用户可见。
- 连接到不安全的 WiFi 网络时,请勿显示或输入重要形式的个人信息(例如信用卡号或密码)。
- 了解网络犯罪、数据保护以及可以采取的任何其他步骤来降低网络钓鱼攻击和恶意软件的风险。
转载请注明出处及链接