首頁資訊美AI醫(yī)療公司服務(wù)器配置錯誤，5.3TB心理健康記錄遭泄露

美AI醫(yī)療公司服務(wù)器配置錯誤，5.3TB心理健康記錄遭泄露

來源：泰然健康網(wǎng) 時間：2024年12月29日 07:20

美國人工智能醫(yī)療公司Confidant Health的服務(wù)器配置錯誤，泄露了5.3TB的敏感心理健康記錄，其中包括個人信息、評估和醫(yī)療信息，對患者構(gòu)成嚴(yán)重的隱私風(fēng)險。事件源于vpnMentor的資深網(wǎng)絡(luò)安全研究員Jeremiah Fowler發(fā)現(xiàn)的一個未受密碼保護(hù)且配置錯誤的服務(wù)器，其中包含來自Confidant Health的機(jī)密記錄。9月6日，Jeremiah Fowler通過博客文章披露了這一發(fā)現(xiàn)。Confidant Health是一家位于德克薩斯州的人工智能平臺，為康涅狄格州、佛羅里達(dá)州、新罕布什爾州、德克薩斯州和弗吉尼亞州的居民提供心理健康和成癮治療服務(wù)。

Confidant Health提供一系列服務(wù)，包括酒精康復(fù)、在線丁丙諾啡診所、成癮前治療、行為改變計劃、康復(fù)教練、阿片類藥物戒斷管理和藥物輔助治療，并且擁有一個下載量超過10,000次的遠(yuǎn)程醫(yī)療成癮康復(fù)應(yīng)用程序。

此次事件中的數(shù)據(jù)庫包含超過126,276個文件（約5.3TB）和170萬條日志記錄，暴露了以下敏感信息：

個人身份信息 (PII)：姓名、地址、聯(lián)系方式、駕駛執(zhí)照和保險信息。

心理健康評估：對患者的心理健康狀況、家族史和創(chuàng)傷經(jīng)歷進(jìn)行詳細(xì)評估。

醫(yī)療記錄：處方藥清單、診斷測試結(jié)果、健康保險詳情、醫(yī)療補(bǔ)助卡、醫(yī)療記錄、治療記錄、列出處方藥的護(hù)理信以及醫(yī)療記錄請求或豁免。

音頻和視頻記錄：它還包括會議的音頻和視頻記錄和文本記錄，討論深入的個人家庭話題，包括孩子、父母、伴侶和沖突。

Fowler在9月6日發(fā)布消息之前與Hackread.com分享的一份報告中解釋道，這些文件披露了心理治療的入院記錄和社會心理評估，詳細(xì)說明了心理健康、藥物濫用、家庭問題、精神病史、創(chuàng)傷史、醫(yī)療狀況和其他診斷。

Confidant Health已承認(rèn)數(shù)據(jù)泄露并限制訪問。目前尚不清楚數(shù)據(jù)庫是由 Confidant Health直接管理還是由第三方管理。暴露的持續(xù)時間和對配置錯誤的服務(wù)器的潛在訪問仍不得而知。

“數(shù)據(jù)庫中的文檔并非全部被公開，部分文件受到限制，無法公開查看。然而，即使這些受限制文件中的數(shù)據(jù)無法查看，也存在惡意行為者知道其他患者數(shù)據(jù)的文件路徑和存儲位置的潛在風(fēng)險，”Fowler指出。

類似因配置失當(dāng)造成的數(shù)據(jù)庫暴露或數(shù)據(jù)泄露屢見不鮮。2024年8月2日J(rèn)eremiah Fowler發(fā)現(xiàn)了13個配置錯誤的數(shù)據(jù)庫，其中包含多達(dá)460萬份文件，包括選民記錄、選票和各種選舉相關(guān)名單。暴露的數(shù)據(jù)似乎來自美國伊利諾伊州的一個縣，無需任何密碼或安全認(rèn)證即可公開訪問。他懷疑其他縣可能無意中泄露了類似的數(shù)據(jù)，于是他替換了數(shù)據(jù)庫格式中的縣名，發(fā)現(xiàn)了總共13個可公開訪問的數(shù)據(jù)庫，以及另外15個不可公開訪問的數(shù)據(jù)庫。

網(wǎng)上咨詢和治療數(shù)據(jù)被網(wǎng)絡(luò)犯罪分子濫用已有先例。2021年，《連線》雜志報道稱，一家名為Vastaamo的心理健康初創(chuàng)公司提供易于使用的技術(shù)服務(wù)，并運(yùn)營著芬蘭最大的私人心理健康服務(wù)提供商網(wǎng)絡(luò)。黑客入侵并下載了他們的整個客戶數(shù)據(jù)庫。接下來，犯罪分子聯(lián)系了Vastaamo的首席執(zhí)行官，要求支付40比特幣（2020年為50萬美元）作為贖金，否則他們每天將泄露100份患者記錄。可見，健康數(shù)據(jù)本身對犯罪分子來說非常有價值，但如果再加上患者對其敏感的個人心理健康數(shù)據(jù)或藥物濫用可能被曝光的擔(dān)憂，則可能會增加勒索成功的風(fēng)險。這些信息落入壞人之手，可能會產(chǎn)生深遠(yuǎn)而毀滅性的后果。

美國的醫(yī)療相關(guān)信息受 HIPAA（健康保險流通與責(zé)任法案）監(jiān)管。該法案為敏感患者健康信息的保密性、安全性和保護(hù)制定了嚴(yán)格的標(biāo)準(zhǔn)。敏感患者數(shù)據(jù)的泄露會嚴(yán)重威脅其隱私，并可能導(dǎo)致各種負(fù)面后果，包括身份盜竊、醫(yī)療身份盜竊、敲詐勒索和勒索。犯罪分子可能會利用這些信息開設(shè)欺詐賬戶、提交虛假保險索賠、威脅患者泄露其心理健康信息并利用他們的弱點。

此次事件凸顯了遠(yuǎn)程醫(yī)療行業(yè)中強(qiáng)有力的數(shù)據(jù)安全措施的重要性。關(guān)鍵措施可能包括加密、訪問控制、定期安全審計、員工數(shù)據(jù)安全最佳實踐培訓(xùn)以及全面的事件響應(yīng)計劃。隨著遠(yuǎn)程醫(yī)療服務(wù)越來越受歡迎，提供商必須優(yōu)先考慮患者的隱私和數(shù)據(jù)安全。

參考資源

1、https://www.vpnmentor.com/news/report-confidanthealth-breach/

2、https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

聲明：本文來自網(wǎng)空閑話plus，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表安全內(nèi)參立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系 anquanneican@163.com。

網(wǎng)址: 美AI醫(yī)療公司服務(wù)器配置錯誤，5.3TB心理健康記錄遭泄露 http://m.u1s5d6.cn/newsview896038.html