- Peneliti Keamanan Menemukan Menemukan Basis Data Non-Pass yang Dipotret Online
- Itu berisi informasi yang dapat diidentifikasi secara pribadi, serta data medis
- Database sejak terkunci
Eshyft, platform teknologi yang dirancang untuk perawat di seluruh Amerika Serikat, dilaporkan menyimpan database yang tidak dilindungi secara online, memaparkan ribuan catatan sensitif kepada siapa pun yang tahu di mana harus mencari.
Peneliti keamanan Jeremiah Fowler menemukan database, yang berisi 86.341 catatan, dan bahwa itu melebihi ukuran 100 GB. Arsip berisi segala macam data sensitif, dari nama dan ID, hingga laporan medis, dan banyak lagi.
Eshyft adalah platform teknologi yang menghubungkan perawat (CNA, LPN, dan RN) dengan pergeseran per diem di fasilitas perawatan jangka panjang di seluruh AS, menawarkan peluang kerja yang fleksibel untuk para profesional kesehatan dan solusi staf yang andal untuk fasilitas.
Mengatasi masalahnya
Tidak diketahui berapa lama database tetap tidak terlindungi, atau jika ada aktor ancaman yang mengaksesnya sebelum Fowler melakukannya. Kami juga tidak tahu apakah Eshyft memelihara database itu sendiri, atau apakah itu outsourcing ke pihak ketiga.
“Dalam sampel terbatas dari dokumen yang diekspos, saya melihat catatan yang menyertakan profil atau gambar wajah pengguna, file .csv dengan log jadwal kerja bulanan, sertifikat profesional, perjanjian penugasan kerja, CV dan resume yang berisi PII tambahan,” Fowler menjelaskan, mencatat bahwa ia melaporkannya ke keduanya Planet Situs WebDan nanti – Eshyft.
“Satu dokumen spreadsheet tunggal berisi 800.000+ entri yang merinci ID internal perawat, nama fasilitas, waktu dan tanggal shift, jam kerja, dan banyak lagi.”
“Saya juga melihat apa yang tampak sebagai dokumen medis yang diunggah ke aplikasi. File -file ini berpotensi diunggah sebagai bukti mengapa perawat individu melewatkan shift atau mengambil cuti sakit. Dokumen -dokumen medis ini termasuk laporan medis yang berisi informasi diagnosis, resep, atau perawatan yang berpotensi berada di bawah ambisi peraturan HIPAA. ”
Setelah Fowler melaporkan temuannya kepada Eshyft, perusahaan mengunci database sebulan kemudian, mengatakan kepadanya, “secara aktif mencari ini dan mengerjakan solusi”.
