- Sicherheitsforscher findet heraus, dass eine enorme nicht passwortgeschützte Datenbank online findet
- Es enthielt persönlich identifizierbare Informationen sowie medizinische Daten
- Die Datenbank wurde seitdem gesperrt
ESHYFT, eine Technologieplattform für Krankenschwestern in den USA, hielt Berichten zufolge online eine ungeschützte Datenbank und setzte Tausende sensibler Aufzeichnungen an alle vor, die wussten, wo sie suchen sollten.
Der Sicherheitsforscher Jeremiah Fowler fand die Datenbank, die 86.341 Aufzeichnungen enthielt und die Größe von 100 GB überschritt. Das Archiv enthielt alle möglichen sensiblen Daten, von Namen und IDs, medizinischen Berichten und mehr.
ESHYFT ist eine Technologieplattform, die Krankenschwestern (CNAs, LPNs und RNs) mit pro Diem-Verschiebungen in Langzeitpflegeeinrichtungen in den USA verbindet und flexible Arbeitsmöglichkeiten für medizinische Fachkräfte und eine zuverlässige Personallösung für Einrichtungen bietet.
Das Problem beheben
Es ist nicht bekannt, wie lange die Datenbank ungeschützt geblieben ist oder ob Bedrohungsakteure darauf zugreifen, bevor Fowler es tat. Wir wissen auch nicht, ob ESHYFT die Datenbank selbst unterhält oder ob sie sie an einen Dritten ausgelagert hat.
“In einer begrenzten Abtastung der exponierten Dokumente habe ich Aufzeichnungen mit Profil- oder Gesichtsbildern von Benutzern, .csv -Dateien mit monatlichen Arbeitsplan -Protokollen, professionellen Zertifikaten, Arbeitszuordnungsvereinbarungen, Lebensläufen und Lebensläufen enthalten, die zusätzliche PII enthielten” Website Planetund später – Eshyft.
“In einem einzigen Tabellenkalkulationsdokument enthielt mehr als 800.000 Einträge, in denen die internen IDs der Krankenschwester, die Einrichtungsnamen, die Uhrzeit und das Datum der Schichten, die Arbeitsstunden und vieles mehr beschrieben wurden.”
„Ich habe auch gesehen, was medizinische Dokumente in der App hochgeladen wurden. Diese Dateien wurden möglicherweise als Beweis dafür hochgeladen, warum einzelne Krankenschwestern Verschiebungen verpassten oder Krankheitsurlaub genommen hatten. Diese medizinischen Dokumente enthielten medizinische Berichte, die Informationen über Diagnose, Verschreibungen oder Behandlungen enthielten, die möglicherweise unter den Einsatz der HIPAA -Vorschriften fallen könnten. “
Nachdem Fowler seine Ergebnisse bei Eshyft gemeldet hatte, sperrte die Firma die Datenbank einen Monat später ein und sagte ihm, dass es sei, “aktiv in diese und arbeite an einer Lösung zu arbeiten”.
Sie könnten auch mögen
Source link