NTreatmentは暗号化されていない患者データを公開します
2020年後半に登録されたセキュリティインシデントでは、データベースのセキュリティが不十分なため、何千もの患者の記録が公開されました。
リークのあるデータベースは、データベースの所有者であるNTreatmentに通知したTechCrunchによって発見されました。漏洩したサーバーはパスワードで保護されていませんでした。さらに、そこに含まれるレコードは暗号化されていない形式で保存され、ブラウザが機能している人なら誰でも閲覧できるようになっています。
公開された記録が公にアクセス可能であった期間に関する確かな情報はありません。ただし、一部の情報では、レコードの一部が子に属していることが明らかになっています。保護されていないサーバーには、合計で約11万のファイルがありました。
同様のセキュリティインシデントは、多かれ少なかれ毎日発生し、何年もの間非常に頻繁に発生しています。この種の問題についてエンドユーザーができることは何もありません。同様の将来のリークを防ぐことができる唯一のことは、同様の情報を扱う従業員の厳格なセキュリティトレーニングです。
普通の人が同様のリークに対して取ることができる唯一の予防策は、彼らが使用するサービスやウェブサイトに異なるパスワードを使用することです。ただし、これでは、保護されていないデータベースから漏洩する氏名や電話番号、その他の個人を特定できる情報から保護することはできません。
ここでの問題の大部分は、この不変の情報が、電話番号の場合は何年も、フルネームの場合は永久に有効であるということです。
NTreatmentは公式声明の中で、セキュリティで保護されていないサーバーを「汎用ストレージ」に使用し、ファイルが公開されて公開された時間の長さに関する具体的な情報を提供しなかったと述べています。