压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

美國人工智能醫(yī)療公司Confidant Health的服務(wù)器配置錯(cuò)誤，泄露了5.3TB的敏感心理健康記錄，其中包括個(gè)人信息、評估和醫(yī)療信息，對患者構(gòu)成嚴(yán)重的隱私風(fēng)險(xiǎn)。事件源于vpnMentor的資深網(wǎng)絡(luò)安全研究員Jeremiah Fowler發(fā)現(xiàn)的一個(gè)未受密碼保護(hù)且配置錯(cuò)誤的服務(wù)器，其中包含來自Confidant Health的機(jī)密記錄。9月6日，Jeremiah Fowler通過博客文章披露了這一發(fā)現(xiàn)。Confidant Health是一家位于德克薩斯州的人工智能平臺(tái)，為康涅狄格州、佛羅里達(dá)州、新罕布什爾州、德克薩斯州和弗吉尼亞州的居民提供心理健康和成癮治療服務(wù)。

Confidant Health提供一系列服務(wù)，包括酒精康復(fù)、在線丁丙諾啡診所、成癮前治療、行為改變計(jì)劃、康復(fù)教練、阿片類藥物戒斷管理和藥物輔助治療，并且擁有一個(gè)下載量超過10,000次的遠(yuǎn)程醫(yī)療成癮康復(fù)應(yīng)用程序。

此次事件中的數(shù)據(jù)庫包含超過126,276個(gè)文件（約5.3TB）和170萬條日志記錄，暴露了以下敏感信息：

• 個(gè)人身份信息 (PII)：姓名、地址、聯(lián)系方式、駕駛執(zhí)照和保險(xiǎn)信息。
• 心理健康評估：對患者的心理健康狀況、家族史和創(chuàng)傷經(jīng)歷進(jìn)行詳細(xì)評估。
• 醫(yī)療記錄：處方藥清單、診斷測試結(jié)果、健康保險(xiǎn)詳情、醫(yī)療補(bǔ)助卡、醫(yī)療記錄、治療記錄、列出處方藥的護(hù)理信以及醫(yī)療記錄請求或豁免。
• 音頻和視頻記錄：它還包括會(huì)議的音頻和視頻記錄和文本記錄，討論深入的個(gè)人家庭話題，包括孩子、父母、伴侶和沖突。

Fowler在9月6日發(fā)布消息之前與Hackread.com分享的一份報(bào)告中解釋道，這些文件披露了心理治療的入院記錄和社會(huì)心理評估，詳細(xì)說明了心理健康、藥物濫用、家庭問題、精神病史、創(chuàng)傷史、醫(yī)療狀況和其他診斷。

Confidant Health已承認(rèn)數(shù)據(jù)泄露并限制訪問。目前尚不清楚數(shù)據(jù)庫是由 Confidant Health直接管理還是由第三方管理。暴露的持續(xù)時(shí)間和對配置錯(cuò)誤的服務(wù)器的潛在訪問仍不得而知。

“數(shù)據(jù)庫中的文檔并非全部被公開，部分文件受到限制，無法公開查看。然而，即使這些受限制文件中的數(shù)據(jù)無法查看，也存在惡意行為者知道其他患者數(shù)據(jù)的文件路徑和存儲(chǔ)位置的潛在風(fēng)險(xiǎn)，”Fowler指出。

類似因配置失當(dāng)造成的數(shù)據(jù)庫暴露或數(shù)據(jù)泄露屢見不鮮。2024年8月2日J(rèn)eremiah Fowler發(fā)現(xiàn)了13個(gè)配置錯(cuò)誤的數(shù)據(jù)庫，其中包含多達(dá)460萬份文件，包括選民記錄、選票和各種選舉相關(guān)名單。暴露的數(shù)據(jù)似乎來自美國伊利諾伊州的一個(gè)縣，無需任何密碼或安全認(rèn)證即可公開訪問。他懷疑其他縣可能無意中泄露了類似的數(shù)據(jù)，于是他替換了數(shù)據(jù)庫格式中的縣名，發(fā)現(xiàn)了總共13個(gè)可公開訪問的數(shù)據(jù)庫，以及另外15個(gè)不可公開訪問的數(shù)據(jù)庫。

網(wǎng)上咨詢和治療數(shù)據(jù)被網(wǎng)絡(luò)犯罪分子濫用已有先例。2021年，《連線》雜志報(bào)道稱，一家名為Vastaamo的心理健康初創(chuàng)公司提供易于使用的技術(shù)服務(wù)，并運(yùn)營著芬蘭最大的私人心理健康服務(wù)提供商網(wǎng)絡(luò)。黑客入侵并下載了他們的整個(gè)客戶數(shù)據(jù)庫。接下來，犯罪分子聯(lián)系了Vastaamo的首席執(zhí)行官，要求支付40比特幣（2020年為50萬美元）作為贖金，否則他們每天將泄露100份患者記錄。可見，健康數(shù)據(jù)本身對犯罪分子來說非常有價(jià)值，但如果再加上患者對其敏感的個(gè)人心理健康數(shù)據(jù)或藥物濫用可能被曝光的擔(dān)憂，則可能會(huì)增加勒索成功的風(fēng)險(xiǎn)。這些信息落入壞人之手，可能會(huì)產(chǎn)生深遠(yuǎn)而毀滅性的后果。

美國的醫(yī)療相關(guān)信息受 HIPAA（健康保險(xiǎn)流通與責(zé)任法案）監(jiān)管。該法案為敏感患者健康信息的保密性、安全性和保護(hù)制定了嚴(yán)格的標(biāo)準(zhǔn)。敏感患者數(shù)據(jù)的泄露會(huì)嚴(yán)重威脅其隱私，并可能導(dǎo)致各種負(fù)面后果，包括身份盜竊、醫(yī)療身份盜竊、敲詐勒索和勒索。犯罪分子可能會(huì)利用這些信息開設(shè)欺詐賬戶、提交虛假保險(xiǎn)索賠、威脅患者泄露其心理健康信息并利用他們的弱點(diǎn)。

此次事件凸顯了遠(yuǎn)程醫(yī)療行業(yè)中強(qiáng)有力的數(shù)據(jù)安全措施的重要性。關(guān)鍵措施可能包括加密、訪問控制、定期安全審計(jì)、員工數(shù)據(jù)安全最佳實(shí)踐培訓(xùn)以及全面的事件響應(yīng)計(jì)劃。隨著遠(yuǎn)程醫(yī)療服務(wù)越來越受歡迎，提供商必須優(yōu)先考慮患者的隱私和數(shù)據(jù)安全。

參考資源

1、https://www.vpnmentor.com/news/report-confidanthealth-breach/

2、https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

聲明：本文來自網(wǎng)空閑話plus，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。