由于配置错误的Amazon S3存储桶导致成千上万的患者数据遭到破坏

不幸的是，由于数据库和服务器配置不当 ，大型和小型公司将大量个人数据暴露在互联网上的事件每天都会发生。例如，上个月，来自UpGuard和DataBreaches.net的研究人员独立发现了两个配置错误的Amazon S3存储桶，它们共同暴露了包含各种医疗保健记录的30多万个文件。尽管两个团队没有协调他们的工作，虽然使用不同的方法发现了桶，很快就会发现这些数据属于同一家公司 - Medico，Inc。

超过90GB的个人和商业数据被公开

可以预见的是，许多与毫无戒心的患者的医疗状况相关的细节都暴露在水桶中。有数字化的考试和治疗笔记，扫描的处方，以及许多其他医疗保健相关的文件。这本身就听起来很糟糕。不幸的是，这只是一个开始。

除了人们的医疗记录外，Medico还在错误配置的存储桶中留下了很多与其及其合作伙伴业务有关的电子表格。 UpGuard的专家没有详细介绍数据的敏感性，但他们确实注意到它“可能对公司或其客户造成损害”。

还有相当多的保险数据，福利说明（EOB）文件构成了暴露信息的很大一部分。除了个人和联系方式之外，这些文件还揭示了医疗和治疗史，如果被滥用，可能会给受害者带来很多麻烦。在某些情况下，EOB还披露了财务细节，包括信用卡号和CVV。为了完成图片，Medico配置不当的存储桶还包含传票和医疗记录请求，其中包括更为敏感的数据，如社会安全号码。

最后但同样重要的是，Medico的一些内部登录凭据和通信被泄露，它们让我们清楚地了解公司如何处理数据安全问题。

错误配置的S3存储桶揭示了一些Medico不太完美的数据安全实践

除了所有医疗保健，个人和商业数据之外，有问题的S3存储桶还存储了一些电子表格，这些电子表格将登录凭证保存到Medico的后端基础设施部分。虽然这可能是最快，即使不是最方便的方式让所有员工都能访问重要密码，但我们过去曾提到过，将这类数据保留为纯文本绝不是一个好主意。你现在可以看到原因了。

必须要说的是，所讨论的电子表格受到密码的保护，至少在理论上，密码会阻止任何发现这些文件的人打开密码。不幸的是，Medico员工还通过电子邮件发送了打开电子表格的密码，公司的IT部门将其系统设计为自动将所有内部通信备份到相同的S3存储桶. 换句话说，应该保护电子表格的密码存储在与电子表格本身相同的位置。它们以纯文本形式提供，可从世界任何地方访问。

GuardUp和DataBreaches.net都表示Medico在收到有关它们的通知后不久就修复了配置错误。考虑到暴露数据的敏感性，快速反应至关重要，Medico应该在听到泄漏后立即拍下保护桶。

话虽这么说，这不应成为将密码存储在托管在云中的Microsoft Office文档中的借口。它不应该是用于制作是配置错误的借口都太 常见 ，无论是。