"Uber dành cho y tá": Hơn 86.000 hồ sơ y tế và thông tin nhận dạng cá nhân bị lộ qua một bucket S3 công khai

 (websiteplanet.com)
1 điểm bởi GN⁺ 2025-03-14 | 1 bình luận | Chia sẻ qua WhatsApp

Hàng nghìn hồ sơ, bao gồm PII, bị lộ trên mạng

  • Cơ sở dữ liệu của ESHYFT, một công ty healthtech có trụ sở tại New Jersey, đã bị lộ mà không có bảo vệ bằng mật khẩu. Công ty này kết nối các cơ sở y tế với y tá thông qua một nền tảng ứng dụng di động.
  • Cơ sở dữ liệu bị lộ chứa 86.341 bản ghi, với tổng dung lượng 108,8GB. Cơ sở dữ liệu này bao gồm ảnh hồ sơ người dùng, nhật ký lịch làm việc, chứng chỉ chuyên môn, hợp đồng làm việc, sơ yếu lý lịch và nhiều dữ liệu khác.
  • Một số tài liệu còn bao gồm hồ sơ y tế chứa chẩn đoán, đơn thuốc và thông tin điều trị, có khả năng vi phạm quy định HIPAA.
  • Cơ sở dữ liệu này dường như thuộc sở hữu của ESHYFT; sau khi được phát hiện, phía công ty đã được thông báo và quyền truy cập bị hạn chế sau một tháng.

Vai trò và tầm quan trọng của ESHYFT

  • ESHYFT cung cấp nền tảng di động kết nối cơ sở y tế với y tá và đang hoạt động tại 29 bang.
  • Ứng dụng này cho phép y tá chọn ca làm phù hợp với lịch trình của mình, đồng thời cung cấp nhân lực điều dưỡng đã được xác minh cho các cơ sở y tế.
  • Ứng dụng đã được tải xuống hơn 50.000 lần trên Google Play Store.

Rủi ro của việc lộ thông tin cá nhân

  • Việc lộ thông tin nhận dạng cá nhân (PII), thông tin lương và lịch sử làm việc có thể tạo ra những rủi ro và lỗ hổng nghiêm trọng cho cả cá nhân lẫn đơn vị tuyển dụng.
  • Khi kết hợp với thông tin như giấy tờ tùy thân và địa chỉ, dữ liệu này có thể giúp tội phạm mạng thực hiện hành vi đánh cắp danh tính hoặc gian lận tài chính.
  • Thông tin bị lộ cũng có thể bị lợi dụng cho các chiến dịch phishing, nhằm dụ nạn nhân cung cấp thêm thông tin cá nhân hoặc tài chính.

Khuyến nghị tăng cường bảo mật

  • Các công ty healthtech và nhà cung cấp phần mềm y tế cần áp dụng các biện pháp an ninh mạng chủ động để bảo vệ dữ liệu và ngăn truy cập trái phép.
  • Cần bắt buộc áp dụng các giao thức mã hóa cho dữ liệu nhạy cảm, đồng thời thực hiện kiểm tra bảo mật định kỳ đối với hạ tầng nội bộ.
  • Dữ liệu nhạy cảm nên được ẩn danh hóa tối đa khi có thể, và dữ liệu không còn sử dụng nên được giới hạn lưu trữ bằng cách đặt ngày hết hạn.
  • Cần yêu cầu xác thực đa yếu tố (MFA) để ngay cả khi thông tin đăng nhập bị lộ, việc truy cập trái phép vẫn không dễ xảy ra.
  • Nên chuẩn bị kế hoạch ứng phó rò rỉ dữ liệu và thiết lập kênh liên lạc chuyên dụng để báo cáo sự cố bảo mật.

Kết luận

  • Khi xảy ra rò rỉ dữ liệu, cần nhanh chóng đưa ra thông báo có trách nhiệm tới tất cả những người có thể bị ảnh hưởng.
  • Người dùng cần được đào tạo cách nhận biết các nỗ lực phishing, điều này mang lại lợi ích cho cả nhà cung cấp dịch vụ lẫn người dùng.
  • Báo cáo này được soạn cho mục đích giáo dục và không phản ánh việc dữ liệu thực tế đã bị xâm hại tính toàn vẹn.

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-03-14
Ý kiến trên Hacker News
  • Gần đây tôi nghe nói về một công ty, công ty đó kiểm tra mức nợ của một người thông qua báo cáo tín dụng trước khi cung cấp suất diễn, rồi dựa vào đó hạ mức phí theo giờ của họ
    • Nếu có hậu quả tiêu cực cho những vụ vi phạm kiểu này, họ hoàn toàn xứng đáng phải trả giá tương xứng
  • Trong mục bảo mật dữ liệu của chính sách quyền riêng tư, họ ghi rõ như sau
    • Chúng tôi sử dụng một số biện pháp bảo vệ về mặt vật lý, quản trị và kỹ thuật để cải thiện tính toàn vẹn và bảo mật của thông tin mà chúng tôi thu thập và lưu giữ
    • Không có biện pháp bảo mật nào là hoàn hảo hoặc không thể bị xuyên thủng
    • Không được thiết kế để lưu trữ hoặc bảo vệ thông tin có thể được coi là thông tin sức khỏe được bảo vệ theo định nghĩa của HIPAA
    • Tôi tự hỏi liệu họ có thể né tránh trách nhiệm chỉ bằng cái cớ rằng hệ thống không được thiết kế để tuân thủ HIPAA hay không
  • Mọi người bị nhầm lẫn vì mức độ uy quyền của các chuyên gia y tế
    • Tuyệt đối không nên đưa số an sinh xã hội cho bác sĩ hoặc bệnh viện
    • Khi họ muốn xác minh giấy tờ tùy thân, điều đó không có nghĩa là cho phép họ quét hoặc chụp ảnh nó
    • Bác sĩ và bệnh viện rất yếu kém về bảo mật thông tin
  • Ngành y tế nói chung có rất nhiều vấn đề
    • Các bệnh viện giá rẻ và thuộc sở hữu doanh nghiệp không tuyển y tá làm nhân viên chính thức
    • Chính sự rẻ đã kéo các bệnh viện đến với ứng dụng này, và có lẽ họ còn trả hoa hồng cho các quản lý đã phê duyệt nó
    • ESHYFT đáng ra phải phá sản, nhưng có lẽ sẽ chẳng có chuyện gì xảy ra
  • Tôi tự hỏi bucket S3 đó đã tồn tại bao lâu rồi
    • AWS đã đặt các bucket S3 mới ở chế độ riêng tư theo mặc định
    • Có thể đó là bucket cũ, hoặc họ đã liều lĩnh mở nó ra vì không thể upload/download tệp từ ứng dụng hoặc dịch vụ di động
  • Tôi tự hỏi có nên đổ lỗi cho AWS hay không
    • Quy trình bảo mật khi hack lúc 3 giờ sáng cho bạn bè không thể áp dụng cho một sản phẩm lưu trữ PII
    • Việc triển khai bảo mật dữ liệu cơ bản là trách nhiệm của người dùng
  • Tôi tự hỏi tại sao họ lại dùng cụm "Uber cho y tá" thay vì dùng tên công ty thật trong tiêu đề
  • Tôi tự hỏi liệu có phải người ta vẫn đang giả vờ rằng các cơ quan quản lý còn hoạt động bình thường có thể xử lý chuyện này hay không
  • Tôi từng làm trong lĩnh vực công nghệ y tế, và đây là vấn đề cực kỳ nghiêm trọng
    • Họ có thể bị phạt theo từng hồ sơ bệnh nhân, và số tiền đó không hề rẻ
    • Nó sẽ bị ghi lên "bức tường xấu hổ", và những người có thể giao dịch với họ trong tương lai sẽ nhìn thấy điều đó
    • Nếu mắc sai lầm, bạn có thể phải chịu trách nhiệm cá nhân
    • Ở chỗ làm trước đây, chúng tôi không để PII đi qua API mà lưu nó trên một VPS tách biệt hoàn toàn khỏi hệ thống
    • Khi cần đến hồ sơ, chúng tôi đưa nó vào một bucket S3 và cung cấp một liên kết tạm thời chỉ người gọi mới có thể truy cập
    • Rất phiền phức, nhưng có thể ngủ ngon mà không phải lo lắng
  • Tôi từng đọc một bài nghiên cứu nói rằng những nghề đòi hỏi đam mê lại là những nghề lương thấp nhất/làm việc quá sức nhất
    • Ví dụ: giáo viên, y tá, nhạc công, vận động viên thể thao