由於配置錯誤的Amazon S3存儲桶導致成千上萬的患者數據遭到破壞

Medico Data Leak Amazon S3 Buckets

不幸的是,由於數據庫和服務器配置不當 ,大型和小型公司將大量個人數據暴露在互聯網上的事件每天都會發生。例如,上個月,來自UpGuardDataBreaches.net的研究人員獨立發現了兩個配置錯誤的Amazon S3存儲桶,它們共同暴露了包含各種醫療保健記錄的30多萬個文件。儘管兩個團隊沒有協調他們的工作,雖然使用不同的方法發現了桶,很快就會發現這些數據屬於同一家公司 - Medico,Inc。

超過90GB的個人和商業數據被公開

可以預見的是,許多與毫無戒心的患者的醫療狀況相關的細節都暴露在水桶中。有數字化的考試和治療筆記,掃描的處方,以及許多其他醫療保健相關的文件。這本身就听起來很糟糕。不幸的是,這只是一個開始。

除了人們的醫療記錄外,Medico還在錯誤配置的存儲桶中留下了很多與其及其合作夥伴業務有關的電子表格。 UpGuard的專家沒有詳細介紹數據的敏感性,但他們確實注意到它“可能對公司或其客戶造成損害”。

還有相當多的保險數據,福利說明(EOB)文件構成了暴露信息的很大一部分。除了個人和聯繫方式之外,這些文件還揭示了醫療和治療史,如果被濫用,可能會給受害者帶來很多麻煩。在某些情況下,EOB還披露了財務細節,包括信用卡號和CVV。為了完成圖片,Medico配置不當的存儲桶還包含傳票和醫療記錄請求,其中包括更為敏感的數據,如社會安全號碼。

最後但同樣重要的是,Medico的一些內部登錄憑據和通信被洩露,它們讓我們清楚地了解公司如何處理數據安全問題。

錯誤配置的S3存儲桶揭示了一些Medico不太完美的數據安全實踐

除了所有醫療保健,個人和商業數據之外,有問題的S3存儲桶還存儲了一些電子表格,這些電子表格將登錄憑證保存到Medico的後端基礎設施部分。雖然這可能是最快,即使不是最方便的方式讓所有員工都能訪問重要密碼,但我們過去曾提到過,將這類數據保留為純文本絕不是一個好主意。你現在可以看到原因了。

必須要說的是,所討論的電子表格受到密碼的保護,至少在理論上,密碼會阻止任何發現這些文件的人打開密碼。不幸的是,Medico員工還通過電子郵件發送了打開電子表格的密碼,公司的IT部門將其係統設計為自動將所有內部通信備份到相同的S3存儲桶. 換句話說,應該保護電子表格的密碼存儲在與電子表格本身相同的位置。它們以純文本形式提供,可從世界任何地方訪問。

GuardUp和DataBreaches.net都表示,Medico在得到通知之後不久就修復了配置錯誤。考慮到暴露數據的敏感性,快速反應至關重要,Medico應該在聽到洩漏後立即拍下保護桶。

話雖這麼說,這不應成為將密碼存儲在託管在雲中的Microsoft Office文檔中的藉口。它不應該是用於製作是配置錯誤的藉口都太 常見 ,無論是。

August 23, 2019
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。