近日，一起涉及醫護人員敏感信息的大規模數據泄露事件被發現，總部位于新澤西州的健康科技公司ESHYFT的超過8.6萬條記錄被暴露。

網絡安全研究員 Jeremiah Fowler 發現了一個未受保護的 AWS S3 存儲桶，其中包含約 108.8 GB 的數據，這些數據缺乏密碼保護或加密，導致醫護人員的私人信息可以公開訪問。

配置錯誤的云存儲中包含了高度敏感的個人身份信息（PII），包括個人照片、工作日程、專業證書以及可能受《健康保險可攜性和責任法案》（HIPAA）保護的醫療文件，這讓遍布29個州的醫護人員面臨重大風險。

泄露的敏感數據

未受保護的AWS S3存儲桶中包含了86,341條記錄，大多數文件存儲在一個名為“App”的文件夾中。

在調查過程中，Fowler發現了多種包含敏感信息的文件類型，包括用戶的頭像照片、記錄每月工作日程的CSV文件、專業證書、工作分配協議以及包含額外PII的簡歷。

病歷文件中包含PII、醫生數據及其他信息

其中一份電子表格文件包含了超過80萬條記錄，詳細記錄了護士的內部ID、工作機構名稱、值班日期和時間以及工作時長，構成了醫護人員的完整數據集。

最令人擔憂的是，一些醫療文件被上傳作為缺勤或病假的證明，這些文件包含診斷、處方和治療信息，可能屬于HIPAA的保護范圍。

在發現暴露的S3存儲桶后，Fowler立即按照標準安全研究協議向ESHYFT發送了責任披露通知。

盡管泄露的數據至關重要，但數據庫的公開訪問權限僅在初次通知一個多月后才被限制。ESHYFT在收到通知后簡短回應：“謝謝！我們正在積極調查并尋找解決方案。”

目前尚不清楚配置錯誤的AWS S3存儲桶是由ESHYFT直接管理還是通過第三方承包商管理，也無法確定數據在被發現前暴露了多久，或是否有未經授權的方在暴露期間訪問了數據。

數據泄露的影響與建議

ESHYFT運營著一個移動平臺，旨在將醫療機構與持證護士助理（CNAs）、持證實踐護士（LPNs）以及注冊護士（RNs）等合格護理專業人員連接起來。

該平臺允許護士根據日程選擇班次，同時為醫療機構提供經過篩選的W-2護理人員。該平臺在美國29個州提供服務，包括加利福尼亞、佛羅里達、喬治亞和新澤西，是解決醫護人員短缺問題的重要技術手段。

此次數據泄露事件發生在醫護人員短缺問題日益嚴重的背景下，衛生資源與服務管理局預計，到2027年，美國注冊護士的缺口將達到10%。

隨著醫療機構越來越依賴技術平臺來解決人員短缺問題，線下醫療服務與在線技術的整合帶來了亟需解決的新安全漏洞。

預防類似的AWS S3存儲桶配置錯誤，健康科技公司應實施嚴格的訪問控制，遵循最小權限原則，啟用默認加密存儲所有數據，并利用AWS的安全功能如Amazon Macie來檢測敏感數據。

安全專家建議對敏感數據實施強制加密協議，并定期進行安全審計以識別云基礎設施中的潛在漏洞。根據數據敏感性分級存儲尤為重要，在本案例中，用戶頭像照片和醫療文件被存儲在同一文件夾中，盡管它們的敏感性分類截然不同。

一些措施如啟用多因素認證（MFA）和清理訪問權限、數據和活動日志，拒絕數據跟蹤和公開共享，可以大幅降低數據泄露的風險。組織也應制定明確的數據泄露響應計劃，并設立專門的溝通渠道報告安全事件。