数十万名医务工作者 护士和护理人员个人信息泄露

数十万名医务工作者 护士和护理人员个人信息泄露

安全研究员 Jeremiah Fowler 与 Website Planet 研究团队一起发现了一个无密码保护的数据库,其中包含总共 170,239 条记录。数据包含医务人员、护士和护理人员的详细信息。这些员工档案公开了姓名、电话、电子邮件、家庭住址。这些帐户还包含指向员工图像的链接、表明凭据的文件和税务文件(SSN/社会安全号码)。

数据集中有多个对“UseGale”的引用。这些文件包括纯文本的内部电子邮件地址、用户名和管理密码。名为“Employees”的文件夹中有记录,其中包含@usegale.com 域,并带有“内部公司员工”的指示。该域用于推广医疗人员配备公司 Gale Healthcare Solutions 的移动应用程序。我们立即向多个地址发送了负责任的披露通知,并在同一天关闭了公共访问权限。

根据他们的网站,“Gale 应用程序使用最新的移动技术将需要临床人才的医疗机构与我们当地可用的护士和护理人员组成的庞大网络连接起来。使用 Gale,设施可以在几秒钟内填补空缺班次,轻松掌握合规性,再也不用担心人手不足的问题。”

暴露了什么数据:

  • 记录总数:170,239 个,位于两个文件夹中。联系人 139k,员工 31.5k。(在大量记录中,这些记录看起来是独一无二的,没有重复)
  • 包括名字和姓氏、电话、电子邮件、家庭住址、雇用日期、申请日期、技能水平在内的内部记录,还有一些包含事件和终止的详细记录。
  • 纯文本密码,用户名似乎是帐户中也列出的用户名或电子邮件地址。我们假设这允许访问应用程序或员工门户。
  • 包含员工照片和名为“SSN 卡”或“凭证”的文件的 AWS 存储账户的链接
  • 图像的格式包含员工的全名和文件名中标题为“SSN”的数字。这是文件名的示例:https://REDACTED.com/gale-registration-documents/documents/Jane-Doe-CNA/Jane_Doe-CNA-SocialSecurityCard-123456789.jpeg
  • 这些暴露的数据可用于一系列犯罪活动,包括身份盗窃、诈骗和勒索。通过电子邮件地址,网络犯罪分子可以利用内幕信息发起有针对性的网络钓鱼活动或社会工程攻击,以建立信任。
  • 存储文件还暴露了数据的存储位置以及可能是次要目标的子文件夹。
  • 纪律、解雇和其他不应公开的工作相关问题的详细记录。
数十万名医务工作者 护士和护理人员个人信息泄露
记录在浏览器窗口中的外观。
红色块表示似乎是 SSN 与名字和姓氏的组合用作文件名。
数十万名医务工作者 护士和护理人员个人信息泄露
来自员工文件的 RN(注册护士)ID 徽章照片示例,其中包含文档名称中的名字和姓氏。
数十万名医务工作者 护士和护理人员个人信息泄露
员工档案如何用注释构建的示例。

这种暴露的风险

就业记录是雇主和网络犯罪分子的信息宝库。身份盗窃是一场噩梦,可能需要数年时间才能恢复并在此过程中造成重大经济损失。犯罪分子使用个人身份信息(例如您的姓名、社会安全号码和家庭住址)来谋取个人经济利益。

一旦犯罪分子获得了必要的数据,他们就可以申请信用卡、贷款、服务、提交欺诈性纳税申报表等等。这些信息可以通过暗网收集并出售给世界各地的其他犯罪分子。其中许多罪犯位于世界上几乎不可能将他们绳之以法的地方。2020 年身份盗窃的总成本达到了创纪录的 560 亿美元。有了这么多钱,很明显身份盗窃和欺诈不会很快消失。

弱密码是一个非常大的安全威胁。简单的密码和重复使用的密码可以允许未经授权的帐户访问、帐户接管、数据盗窃和其他形式的网络攻击。在 10,000 条记录的样本中,“Password”出现了 2,921 次。我们还可以看到多个内部管理员帐户使用非常相似且简单的密码。我们强烈建议组织和用户对包含敏感用户数据的任何帐户使用复杂的密码。强密码的安全标准应至少包含 12 个字符。这些应该是大写和小写字母、数字的组合,并包括任何特殊字符。

文件安全和文档名称

图像或文件名也可能是数据安全风险。收集和存储数据的组织通常使用内部 ID 号或其他方法来隐藏或隐藏文件名或文件夹名称上的任何个人数据。这是我第一次在实际文件名中看到全名和一个叫做“SSN”的数字。理论上,不必打开文件来暴露敏感数据,因为文件名本身就包含了看似 PII(个人身份信息)的内容。

数十万名医务工作者 护士和护理人员个人信息泄露

Covid 19 大流行对医护人员造成了沉重打击,许多人身心俱疲。美国各地的医院都面临医护人员短缺的问题。任何允许医院轮班的服务对病人来说都是极其重要和有价值的。不幸的是,这起事件可能在本已困难的时期暴露了一线工人的数据。卫生保健工作者公开的私人信息也会带来不必要的骚扰、恐吓或网络跟踪的风险。

目前尚不清楚数据库暴露了多长时间以及还有谁可能获得了对可公开访问的记录的访问权限。目前还不清楚是否按照 2014 年佛罗里达州信息保护法 (FIPA) 的要求将潜在暴露通知了医务人员或当局。

我们并不暗示 Gale Healthcare Solutions、他们的合作伙伴或用户有任何不当行为,我们强调我们的发现以提高数据保护意识并促进网络安全最佳实践。我们的使命是保护公开信息并保护数据。在我们向 Gale Healthcare Solutions 发送负责任的披露通知后,公众访问在数小时内受到限制。在发布时,我们尚未收到 Gale Healthcare Solutions 的任何回复。我们不会下载或提取任何敏感信息,并尽一切善意努力保护任何可能受影响的个人的隐私。

from

Leave a Reply

您的电子邮箱地址不会被公开。