美AI醫療公司服務器配置錯誤,5.3TB心理健康記錄遭泄露
責編:gltian |2024-09-09 11:33:45美國人工智能醫療公司Confidant Health的服務器配置錯誤,泄露了5.3TB的敏感心理健康記錄,其中包括個人信息、評估和醫療信息,對患者構成嚴重的隱私風險。事件源于vpnMentor的資深網絡安全研究員Jeremiah Fowler發現的一個未受密碼保護且配置錯誤的服務器,其中包含來自Confidant Health的機密記錄。9月6日,Jeremiah Fowler通過博客文章披露了這一發現。Confidant Health是一家位于德克薩斯州的人工智能平臺,為康涅狄格州、佛羅里達州、新罕布什爾州、德克薩斯州和弗吉尼亞州的居民提供心理健康和成癮治療服務。
Confidant Health提供一系列服務,包括酒精康復、在線丁丙諾啡診所、成癮前治療、行為改變計劃、康復教練、阿片類藥物戒斷管理和藥物輔助治療,并且擁有一個下載量超過10,000次的遠程醫療成癮康復應用程序。
此次事件中的數據庫包含超過126,276個文件(約5.3TB)和170萬條日志記錄,暴露了以下敏感信息:
- 個人身份信息 (PII):姓名、地址、聯系方式、駕駛執照和保險信息。
- 心理健康評估:對患者的心理健康狀況、家族史和創傷經歷進行詳細評估。
- 醫療記錄:處方藥清單、診斷測試結果、健康保險詳情、醫療補助卡、醫療記錄、治療記錄、列出處方藥的護理信以及醫療記錄請求或豁免。
- 音頻和視頻記錄:它還包括會議的音頻和視頻記錄和文本記錄,討論深入的個人家庭話題,包括孩子、父母、伴侶和沖突。
Fowler在9月6日發布消息之前與Hackread.com分享的一份報告中解釋道,這些文件披露了心理治療的入院記錄和社會心理評估,詳細說明了心理健康、藥物濫用、家庭問題、精神病史、創傷史、醫療狀況和其他診斷。
Confidant Health已承認數據泄露并限制訪問。目前尚不清楚數據庫是由 Confidant Health直接管理還是由第三方管理。暴露的持續時間和對配置錯誤的服務器的潛在訪問仍不得而知。
“數據庫中的文檔并非全部被公開,部分文件受到限制,無法公開查看。然而,即使這些受限制文件中的數據無法查看,也存在惡意行為者知道其他患者數據的文件路徑和存儲位置的潛在風險,”Fowler指出。
類似因配置失當造成的數據庫暴露或數據泄露屢見不鮮。2024年8月2日Jeremiah Fowler發現了13個配置錯誤的數據庫,其中包含多達460萬份文件,包括選民記錄、選票和各種選舉相關名單。暴露的數據似乎來自美國伊利諾伊州的一個縣,無需任何密碼或安全認證即可公開訪問。他懷疑其他縣可能無意中泄露了類似的數據,于是他替換了數據庫格式中的縣名,發現了總共13個可公開訪問的數據庫,以及另外15個不可公開訪問的數據庫。
網上咨詢和治療數據被網絡犯罪分子濫用已有先例。2021年,《連線》雜志報道稱,一家名為Vastaamo的心理健康初創公司提供易于使用的技術服務,并運營著芬蘭最大的私人心理健康服務提供商網絡。黑客入侵并下載了他們的整個客戶數據庫。接下來,犯罪分子聯系了Vastaamo的首席執行官,要求支付40比特幣(2020年為50萬美元)作為贖金,否則他們每天將泄露100份患者記錄。可見,健康數據本身對犯罪分子來說非常有價值,但如果再加上患者對其敏感的個人心理健康數據或藥物濫用可能被曝光的擔憂,則可能會增加勒索成功的風險。這些信息落入壞人之手,可能會產生深遠而毀滅性的后果。
美國的醫療相關信息受 HIPAA(健康保險流通與責任法案)監管。該法案為敏感患者健康信息的保密性、安全性和保護制定了嚴格的標準。敏感患者數據的泄露會嚴重威脅其隱私,并可能導致各種負面后果,包括身份盜竊、醫療身份盜竊、敲詐勒索和勒索。犯罪分子可能會利用這些信息開設欺詐賬戶、提交虛假保險索賠、威脅患者泄露其心理健康信息并利用他們的弱點。
此次事件凸顯了遠程醫療行業中強有力的數據安全措施的重要性。關鍵措施可能包括加密、訪問控制、定期安全審計、員工數據安全最佳實踐培訓以及全面的事件響應計劃。隨著遠程醫療服務越來越受歡迎,提供商必須優先考慮患者的隱私和數據安全。
參考資源
1、https://www.vpnmentor.com/news/report-confidanthealth-breach/
2、https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/