美國(guó)人工智能醫(yī)療公司Confidant Health的服務(wù)器配置錯(cuò)誤，泄露了5.3TB的敏感心理健康記錄，其中包括個(gè)人信息、評(píng)估和醫(yī)療信息，對(duì)患者構(gòu)成嚴(yán)重的隱私風(fēng)險(xiǎn)。事件源于vpnMentor的資深網(wǎng)絡(luò)安全研究員Jeremiah Fowler發(fā)現(xiàn)的一個(gè)未受密碼保護(hù)且配置錯(cuò)誤的服務(wù)器，其中包含來自Confidant Health的機(jī)密記錄。9月6日，Jeremiah Fowler通過博客文章披露了這一發(fā)現(xiàn)。Confidant Health是一家位于德克薩斯州的人工智能平臺(tái)，為康涅狄格州、佛羅里達(dá)州、新罕布什爾州、德克薩斯州和弗吉尼亞州的居民提供心理健康和成癮治療服務(wù)。

Confidant Health提供一系列服務(wù)，包括酒精康復(fù)、在線丁丙諾啡診所、成癮前治療、行為改變計(jì)劃、康復(fù)教練、阿片類藥物戒斷管理和藥物輔助治療，并且擁有一個(gè)下載量超過10,000次的遠(yuǎn)程醫(yī)療成癮康復(fù)應(yīng)用程序。

此次事件中的數(shù)據(jù)庫(kù)包含超過126,276個(gè)文件（約5.3TB）和170萬(wàn)條日志記錄，暴露了以下敏感信息：

個(gè)人身份信息 (PII)：姓名、地址、聯(lián)系方式、駕駛執(zhí)照和保險(xiǎn)信息。

心理健康評(píng)估：對(duì)患者的心理健康狀況、家族史和創(chuàng)傷經(jīng)歷進(jìn)行詳細(xì)評(píng)估。

醫(yī)療記錄：處方藥清單、診斷測(cè)試結(jié)果、健康保險(xiǎn)詳情、醫(yī)療補(bǔ)助卡、醫(yī)療記錄、治療記錄、列出處方藥的護(hù)理信以及醫(yī)療記錄請(qǐng)求或豁免。

音頻和視頻記錄：它還包括會(huì)議的音頻和視頻記錄和文本記錄，討論深入的個(gè)人家庭話題，包括孩子、父母、伴侶和沖突。

Fowler在9月6日發(fā)布消息之前與Hackread.com分享的一份報(bào)告中解釋道，這些文件披露了心理治療的入院記錄和社會(huì)心理評(píng)估，詳細(xì)說明了心理健康、藥物濫用、家庭問題、精神病史、創(chuàng)傷史、醫(yī)療狀況和其他診斷。

Confidant Health已承認(rèn)數(shù)據(jù)泄露并限制訪問。目前尚不清楚數(shù)據(jù)庫(kù)是由 Confidant Health直接管理還是由第三方管理。暴露的持續(xù)時(shí)間和對(duì)配置錯(cuò)誤的服務(wù)器的潛在訪問仍不得而知。

“數(shù)據(jù)庫(kù)中的文檔并非全部被公開，部分文件受到限制，無法公開查看。然而，即使這些受限制文件中的數(shù)據(jù)無法查看，也存在惡意行為者知道其他患者數(shù)據(jù)的文件路徑和存儲(chǔ)位置的潛在風(fēng)險(xiǎn)，”Fowler指出。

類似因配置失當(dāng)造成的數(shù)據(jù)庫(kù)暴露或數(shù)據(jù)泄露屢見不鮮。2024年8月2日J(rèn)eremiah Fowler發(fā)現(xiàn)了13個(gè)配置錯(cuò)誤的數(shù)據(jù)庫(kù)，其中包含多達(dá)460萬(wàn)份文件，包括選民記錄、選票和各種選舉相關(guān)名單。暴露的數(shù)據(jù)似乎來自美國(guó)伊利諾伊州的一個(gè)縣，無需任何密碼或安全認(rèn)證即可公開訪問。他懷疑其他縣可能無意中泄露了類似的數(shù)據(jù)，于是他替換了數(shù)據(jù)庫(kù)格式中的縣名，發(fā)現(xiàn)了總共13個(gè)可公開訪問的數(shù)據(jù)庫(kù)，以及另外15個(gè)不可公開訪問的數(shù)據(jù)庫(kù)。

網(wǎng)上咨詢和治療數(shù)據(jù)被網(wǎng)絡(luò)犯罪分子濫用已有先例。2021年，《連線》雜志報(bào)道稱，一家名為Vastaamo的心理健康初創(chuàng)公司提供易于使用的技術(shù)服務(wù)，并運(yùn)營(yíng)著芬蘭最大的私人心理健康服務(wù)提供商網(wǎng)絡(luò)。黑客入侵并下載了他們的整個(gè)客戶數(shù)據(jù)庫(kù)。接下來，犯罪分子聯(lián)系了Vastaamo的首席執(zhí)行官，要求支付40比特幣（2020年為50萬(wàn)美元）作為贖金，否則他們每天將泄露100份患者記錄?？梢姡】禂?shù)據(jù)本身對(duì)犯罪分子來說非常有價(jià)值，但如果再加上患者對(duì)其敏感的個(gè)人心理健康數(shù)據(jù)或藥物濫用可能被曝光的擔(dān)憂，則可能會(huì)增加勒索成功的風(fēng)險(xiǎn)。這些信息落入壞人之手，可能會(huì)產(chǎn)生深遠(yuǎn)而毀滅性的后果。

美國(guó)的醫(yī)療相關(guān)信息受 HIPAA（健康保險(xiǎn)流通與責(zé)任法案）監(jiān)管。該法案為敏感患者健康信息的保密性、安全性和保護(hù)制定了嚴(yán)格的標(biāo)準(zhǔn)。敏感患者數(shù)據(jù)的泄露會(huì)嚴(yán)重威脅其隱私，并可能導(dǎo)致各種負(fù)面后果，包括身份盜竊、醫(yī)療身份盜竊、敲詐勒索和勒索。犯罪分子可能會(huì)利用這些信息開設(shè)欺詐賬戶、提交虛假保險(xiǎn)索賠、威脅患者泄露其心理健康信息并利用他們的弱點(diǎn)。

此次事件凸顯了遠(yuǎn)程醫(yī)療行業(yè)中強(qiáng)有力的數(shù)據(jù)安全措施的重要性。關(guān)鍵措施可能包括加密、訪問控制、定期安全審計(jì)、員工數(shù)據(jù)安全最佳實(shí)踐培訓(xùn)以及全面的事件響應(yīng)計(jì)劃。隨著遠(yuǎn)程醫(yī)療服務(wù)越來越受歡迎，提供商必須優(yōu)先考慮患者的隱私和數(shù)據(jù)安全。

參考資源

1、https://www.vpnmentor.com/news/report-confidanthealth-breach/

2、https://hackread.com/ai-firm-misconfigured-server-exposed-mental-health-data/

聲明：本文來自網(wǎng)空閑話plus，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表安全內(nèi)參立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系 anquanneican@163.com。

相關(guān)知識(shí)

AI + 醫(yī)療服務(wù)50個(gè)應(yīng)用場(chǎng)景：重塑醫(yī)療健康新生態(tài)
“AI+醫(yī)療”：便捷與風(fēng)險(xiǎn)并存
醫(yī)療領(lǐng)域最有前景的10大AI應(yīng)用，這些你知道嗎？
“醫(yī)療AI股”美年健康獲評(píng)“最具投資價(jià)值上市公司”
澳洋健康：公司主營(yíng)業(yè)務(wù)主要為大健康產(chǎn)業(yè)，綜合性醫(yī)療、?？漆t(yī)療涉及不同方向
5.8億融資！AI醫(yī)療公司借勢(shì)推出創(chuàng)新云平臺(tái)
魔域服務(wù)端架設(shè)指南：服務(wù)器與登錄器配置全解析
數(shù)字健康與遠(yuǎn)程醫(yī)療服務(wù)優(yōu)化
醫(yī)療物聯(lián)網(wǎng)的遠(yuǎn)程監(jiān)測(cè)與健康服務(wù)
“檢測(cè)儀器”+“專業(yè)醫(yī)療服務(wù)體系”的醫(yī)加醫(yī)健康機(jī)器人

網(wǎng)址: 美AI醫(yī)療公司服務(wù)器配置錯(cuò)誤，5.3TB心理健康記錄遭泄露 http://www.u1s5d6.cn/newsview896038.html