美国人工智能医疗公司Confidant Health的服务器配置错误,泄露了5.3TB的敏感心理健康记录,其中包括个人信息、评估和医疗信息,对患者构成严重的隐私风险。事件源于vpnMentor的资深网络安全研究员Jeremiah Fowler发现的一个未受密码保护且配置错误的服务器,其中包含来自Confidant Health的机密记录。9月6日,Jeremiah Fowler通过博客文章披露了这一发现。Confidant Health是一家位于德克萨斯州的人工智能平台,为康涅狄格州、佛罗里达州、新罕布什尔州、德克萨斯州和弗吉尼亚州的居民提供心理健康和成瘾治疗服务。

Confidant Health提供一系列服务,包括酒精康复、在线丁丙诺啡诊所、成瘾前治疗、行为改变计划、康复教练、阿片类药物戒断管理和药物辅助治疗,并且拥有一个下载量超过10,000次的远程医疗成瘾康复应用程序。

此次事件中的数据库包含超过126,276个文件(约5.3TB)和170万条日志记录,暴露了以下敏感信息:

  • 个人身份信息 (PII):姓名、地址、联系方式、驾驶执照和保险信息。

  • 心理健康评估:对患者的心理健康状况、家族史和创伤经历进行详细评估。

  • 医疗记录:处方药清单、诊断测试结果、健康保险详情、医疗补助卡、医疗记录、治疗记录、列出处方药的护理信以及医疗记录请求或豁免。

  • 音频和视频记录:它还包括会议的音频和视频记录和文本记录,讨论深入的个人家庭话题,包括孩子、父母、伴侣和冲突。

Fowler在9月6日发布消息之前与Hackread.com分享的一份报告中解释道,这些文件披露了心理治疗的入院记录和社会心理评估,详细说明了心理健康、药物滥用、家庭问题、精神病史、创伤史、医疗状况和其他诊断。

Confidant Health已承认数据泄露并限制访问。目前尚不清楚数据库是由 Confidant Health直接管理还是由第三方管理。暴露的持续时间和对配置错误的服务器的潜在访问仍不得而知。

“数据库中的文档并非全部被公开,部分文件受到限制,无法公开查看。然而,即使这些受限制文件中的数据无法查看,也存在恶意行为者知道其他患者数据的文件路径和存储位置的潜在风险,”Fowler指出。

类似因配置失当造成的数据库暴露或数据泄露屡见不鲜。2024年8月2日Jeremiah Fowler发现了13个配置错误的数据库,其中包含多达460万份文件,包括选民记录、选票和各种选举相关名单。暴露的数据似乎来自美国伊利诺伊州的一个县,无需任何密码或安全认证即可公开访问。他怀疑其他县可能无意中泄露了类似的数据,于是他替换了数据库格式中的县名,发现了总共13个可公开访问的数据库,以及另外15个不可公开访问的数据库。

网上咨询和治疗数据被网络犯罪分子滥用已有先例。2021年,《连线》杂志报道称,一家名为Vastaamo的心理健康初创公司提供易于使用的技术服务,并运营着芬兰最大的私人心理健康服务提供商网络。黑客入侵并下载了他们的整个客户数据库。接下来,犯罪分子联系了Vastaamo的首席执行官,要求支付40比特币(2020年为50万美元)作为赎金,否则他们每天将泄露100份患者记录。可见,健康数据本身对犯罪分子来说非常有价值,但如果再加上患者对其敏感的个人心理健康数据或药物滥用可能被曝光的担忧,则可能会增加勒索成功的风险。这些信息落入坏人之手,可能会产生深远而毁灭性的后果。

美国的医疗相关信息受 HIPAA(健康保险流通与责任法案)监管。该法案为敏感患者健康信息的保密性、安全性和保护制定了严格的标准。敏感患者数据的泄露会严重威胁其隐私,并可能导致各种负面后果,包括身份盗窃、医疗身份盗窃、敲诈勒索和勒索。犯罪分子可能会利用这些信息开设欺诈账户、提交虚假保险索赔、威胁患者泄露其心理健康信息并利用他们的弱点。

此次事件凸显了远程医疗行业中强有力的数据安全措施的重要性。关键措施可能包括加密、访问控制、定期安全审计、员工数据安全最佳实践培训以及全面的事件响应计划。随着远程医疗服务越来越受欢迎,提供商必须优先考虑患者的隐私和数据安全。

参考资源

1、https://www.vpnmentor.com/news/report-confidanthealth-breach/

2、https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。