安全思想与安全专家耶利米·福勒合作,揭露了一家人工智能公司泄露的数百万份个人医疗记录。以下是他的发现:
7月7日,我发现了250万条似乎包含敏感医疗数据和PII(个人身份信息)的记录。这些记录包括姓名、保险记录、医疗诊断笔记等。在进一步的研究中,有多次提到一家名为Cense的人工智能公司。这些记录被标记为临时数据,我们只能推测这是一个存储库,目的是在数据加载到AI Bot或Cense的管理系统时临时保存数据。一旦我可以验证数据,我就发出了一份负责任的披露通知。在我的通知被发送给CENSE后不久,我发现对数据库的公共访问受到限制。
根据他们在LinkedIn上的个人资料:“Cense提供基于SaaS的智能流程自动化管理解决方案。它的产品包括Cense Bot,它允许用户自动执行任务,帮助员工和员工提供信息。其他解决方案包括票证管理、预约日程安排和流程周期管理等。它还使用机器学习技术提供端到端业务流程管理。它为教育、医疗、零售和电子商务提供解决方案。“。
上面列出了多家诊所、保险提供商和账户,这似乎是他们的客户数据之一,但我永远无法确认客户到底是谁,或者这是不是他们的所有客户。有两个单独的文件夹,里面有可疑的医疗数据,一个包含158万条记录,另一个包含830000条记录。错误配置和暴露的数据直接存储在与CENSE网站相同的IP地址上。从IP地址删除端口时,任何具有Internet连接的人都可以直接访问临时门户。这使得验证数据集的所有者变得容易,但也可能通过将其整个云基础设施保持在一个位置来暴露其网络的其他区域。
根据我在记录中看到的信息,这个数据集似乎是发生车祸的个人,涉及脊椎按摩或其他颈部和脊柱损伤。所有的保险信息都来自汽车保险提供商,其中包括保单编号、索赔编号、事故日期和其他信息。在我审查的样本中,几乎所有人都以纽约为基地,但我不能排除来自其他州的个人没有受到影响。作为一名安全研究员,我从不提取或下载我找到的数据,只检查和验证有限的样本。通常是争分夺秒地保护数据并尽快通知组织,这可能会限制彻底分析数据所需的时间。
每个发现的验证过程是不同的,但查看名称和位置可以提供线索,以确定它是真实数据还是虚拟数据。为了做到这一点,我只用谷歌搜索了几个非常鲜为人知或独特的名字,讽刺的是,整个美国只有一两个人有这个名字、地理位置和匹配的年龄范围。这就是让我认为这是真实数据的原因,这些是真实的个人。律师事务所和其他数据也与真实的个人进行了匹配。我的目标始终是帮助保护暴露的数据,并在数据被勒索软件泄露、窃取或清除之前,负责任地通知所有者我们发现的数据。
医疗数据是最有价值的,它每天都在黑暗网络上买卖。信息安全公司Trustwave发布了一份报告,黑市上医疗记录的估值为每张250美元,而信用卡的售价为每张5.40美元。很容易理解为什么网络罪犯会想要将最有价值的数据置于所有其他数据之上。公司和组织必须更好地保护他们收集和存储的数据,但当这些数据可能包括医疗或患者信息时,绝不应该以纯文本形式存储。
此数据库设置为在任何浏览器(公开访问)中打开并可见,任何人都可以在没有管理凭据的情况下编辑、下载甚至删除数据。
可能违反HIPPA规定的姓名、保险记录、医疗诊断记录。(在选择性抽样中,我们能够向居住在纽约地区的个人验证一些鲜为人知的名字)。
网络罪犯可以利用的IP地址、端口、路径和存储信息来更深入地访问网络。
每当存在潜在的数据泄露时,公司都有义务和义务在涉及其数据时通知用户。在这种情况下,最令人担忧的是我可以看到可能违反HIPPA法律的姓名、出生日期、地址和医疗记录。我并不是在暗示有任何违规行为,也不是说Cense违反了任何合法的数据泄露通知要求。然而,违反HIPAA规则的处罚可能会很严厉,每次违规最高可处以25,000美元的罚款。我只是强调我发现的事实,以提高人们的意识。
任何数据暴露都可能使用户或客户面临风险,但没有其他数据像医疗记录或健康记录那样具有高度威胁。该数据库还包含存在被勒索软件攻击风险的内部记录。目前尚不清楚这些数据被曝光的时间有多长,也不清楚还有哪些人可能接触到了这些数据。目前也不清楚当局或受影响的个人是否已收到数据泄露的通知。7月8日,我发了第二条消息,确认公众访问受到限制,数据不再公开。不幸的是,没有人回复我最初的通知或后续消息。截至发布时,CENCE还没有人提供关于数据事件的声明或评论。
根据Cense的网站,该公司在纽约市和印度孟买设有办事处。根据纽约州法律,2005年12月7日生效的“信息安全漏洞和通知法”为纽约州居民提供了知道何时安全漏洞导致他们的私人信息泄露的权利。根据“一般商业法”第899-AA条,从事业务的个人或企业还必须通知纽约州总检察长、纽约州警察局和国务院消费者保护局。