「看護師版Uber」、公開されたS3バケット経由で86,000件超の医療記録と個人識別情報が露出した事件

 (websiteplanet.com)
1 ポイント 投稿者 GN⁺ 2025-03-14 | 1件のコメント | WhatsAppで共有

数千件の記録、PIIを含みオンラインに露出

  • ニュージャージー州拠点のヘルステック企業 ESHYFT のデータベースが、パスワード保護なしで露出していた。同社はモバイルアプリプラットフォームを通じて医療施設と看護師をつないでいる。
  • 露出したデータベースには86,341件の記録が含まれ、総容量は108.8GBだった。データベースには、ユーザーのプロフィール写真、勤務スケジュールのログ、専門資格証、勤務契約書、履歴書などが含まれていた。
  • 一部の文書には、診断、処方箋、治療情報を含む医療文書もあり、HIPAA規制に違反している可能性がある。
  • このデータベースはESHYFTの所有とみられ、発見後に同社へ通知が送られ、1か月後にアクセスが制限された。

ESHYFTの役割と重要性

  • ESHYFTは医療施設と看護師をつなぐモバイルプラットフォームを提供しており、29州で運営されている。
  • このアプリは、看護師が自分の予定に合った勤務を選べるようにし、医療施設には検証済みの看護人材を提供する。
  • Google Play Storeで50,000回以上ダウンロードされている。

個人情報露出のリスク

  • 個人識別情報(PII)、給与情報、勤務履歴の露出は、個人と雇用機関の双方に深刻なリスクと脆弱性をもたらしかねない。
  • 身分証明書や住所などの情報が組み合わされると、サイバー犯罪者が身元盗用や金融詐欺を働く可能性がある。
  • 露出した情報はフィッシングキャンペーンに悪用される可能性があり、被害者から追加の個人情報や金融情報を引き出す手口に使われうる。

セキュリティ強化の推奨事項

  • ヘルステック企業と医療ソフトウェア提供事業者は、データ保護と不正アクセス防止のために積極的なサイバーセキュリティ対策を講じる必要がある。
  • 機微データの暗号化プロトコルを義務化し、内部インフラに対する定期的なセキュリティ監査が必要である。
  • 機微データは可能な限り匿名化し、使用されていないデータには有効期限を設定して保存を制限すべきである。
  • 多要素認証(MFA)を要求し、ユーザー資格情報が露出しても容易にアクセスできないようにすべきである。
  • データ漏えい対応計画と、セキュリティインシデント報告のための専用コミュニケーションチャネルを整備すべきである。

結論

  • データ漏えいが発生した場合、影響を受ける可能性のあるすべての人に対して、迅速かつ責任ある通知を行うべきである。
  • ユーザーはフィッシングの試みを見分ける方法について教育を受けるべきであり、これはサービス提供者とユーザー双方に利益をもたらす。
  • このレポートは教育目的で作成されたものであり、実際のデータ完全性の損傷を反映するものではない。

関連記事

1件のコメント

 
GN⁺ 2025-03-14
Hacker Newsのコメント
  • 最近ある会社について聞いたのだが、その会社は業務を提供する前に信用報告書で個人の負債水準を把握し、それに基づいて時給を下げるという
    • このような侵害に対して何らかの悪い結果があるなら、彼らは十分にその代償を払うべきだ
  • 彼らのプライバシーポリシーのデータセキュリティの節には、次のように記されている
    • 当社は、収集および保持する情報の完全性とセキュリティを向上させるため、一定の物理的、管理的、技術的保護措置を使用する
    • いかなるセキュリティ対策も完全または突破不能ではない
    • HIPAAで定義される保護対象保健情報と見なされ得る情報を保存または保護するようには設計されていない
    • システムがHIPAA準拠で設計されていなかったという言い訳で責任を回避できるのか疑問だ
  • 医療専門職の権威の高さのせいで、人々は混乱している
    • 医師や病院に社会保障番号を絶対に提供してはいけない
    • 身分証明を求められたとき、それはスキャンや写真撮影を意味しない
    • 医師や病院は情報セキュリティが非常に脆弱だ
  • 医療業界は全般的に問題が多い
    • 安価で企業所有の病院は看護師を正社員として雇用しない
    • 安さが病院をこのアプリに引き寄せ、それを承認した管理者にリベートを提供していた可能性がある
    • ESHYFTは倒産すべきだが、おそらく何も起こらないだろう
  • S3バケットがどれほど古いのか気になる
    • AWSは新しいS3バケットをデフォルトで非公開に設定している
    • 古いものだったか、あるいはモバイルアプリ/サービスからファイルをアップロード/ダウンロードできず、無謀にも公開した可能性がある
  • AWSを非難すべきなのか気になる
    • 友人のために午前3時にハッキングするときのセキュリティ手順は、PIIをホストする製品には適用されない
    • 基本的なデータセキュリティを実装するのは利用者の責任だ
  • なぜ「Uber for nurses」という表現を使い、実際の会社名をタイトルで使わなかったのか気になる
  • いまだに機能している規制当局がこの問題に対して措置を取れると装っているのか気になる
  • 医療技術分野で働いていたが、これは非常に深刻な問題だ
    • 患者記録1件ごとに罰金を科されるが、安くはない
    • 「恥の壁」に載せられ、将来取引する可能性のある人々がそれを見ることになる
    • ミスをすると個人的に責任を負う可能性がある
    • 以前の職場では、PIIがAPI経由で渡らないようにし、システムと完全に分離されたVPSに保管していた
    • 記録が必要なときはS3バケットに置き、呼び出し元だけがアクセスできる一時リンクを提供していた
    • 非常に面倒だったが、安心して眠ることができた
  • 情熱が必要な職業ほど低賃金・過重労働だという研究論文を読んだことがある
    • 例: 教師、看護師、音楽家、スポーツ選手