Paine在发现数据库时通知了主要的治疗中心以及网站托管公司。此后,数据已无法向公众提供。Paine通过在Shodan搜索引擎中输入关键字来找到数据,该搜索引擎将服务器和连接到互联网的其他设备编入索引。
“鉴于围绕成瘾的耻辱,这几乎肯定不是病人想要容易获取的信息,”潘恩在博客文章中说,他在出版前与CNET分享。Paine在空闲时间寻找不安全的数据库。他的日常工作是网络安全公司Cloudflare的信任和安全负责人。
该发现是一个普遍问题的最新例子:任何组织现在都可以轻松地将客户数据存储在基于云的服务上,但很少有人具备安全设置它们的专业知识。结果,无数不安全的数据库就在网上,任何拥有一些搜索技能的人都可以找到它们。其中许多数据库都充满了敏感的个人数据。
健康保障数据的泄漏是可以引发显著问题的要求下,联邦法律通知问题的病人。潘恩表示,他没有迹象表明患者已被告知有关数据库暴露的信息,并且宾夕法尼亚州康复中心(其数据构成泄漏的大部分)的恢复步骤没有回应他的消息告诉他们暴露。
恢复步骤首席运营官Cory Cooper周五告诉CNET,该公司正在引进一家网络安全公司进行调查。他说,如果调查发现存在违规行为,公司将通知患者。
“我们非常重视患者记录的安全性和保密性,”Cooper说。
俄勒冈成瘾恢复中心数据中提到的另一个康复中心没有回应CNET的评论请求。Cooper说,俄亥俄州的设施与恢复步骤无关。
潘恩说,他可以通过搜索他们的姓名和可能的位置找到进一步的识别信息,例如患者的年龄,出生日期,地址和家庭成员。他说没有迹象表明黑客访问了这些数据。
“我发现这些数据纯属意外泄露,但恶意的人也可能发现了同样的数据,并可能将其用作身份盗窃的一部分,”Paine说。
医疗身份盗窃是一种常见的欺诈形式,其中有人使用他人的姓名和保险信息来获得医疗保健。有时这种欺诈发生的规模要大得多。2010年,联邦调查人员指控一群人设立了100多家假诊所和计费保险公司,提供假病毒服务和医生记录。
但身份盗窃并不是康复患者数据暴露在线的唯一风险,身份盗窃资源中心执行主任Eva Velasquez说。隐私的丧失和对患者声誉的潜在影响同样重要。
“这说明任何实体在收集数据以及如何保护数据时必须采用的心态,”Velasquez说。