Informasi sensitif dari 30 ribu petugas kesehatan Florida yang terpapar dalam basis data yang tidak terlindungi
Security

Informasi sensitif dari 30 ribu petugas kesehatan Florida yang terpapar dalam basis data yang tidak terlindungi

Lebih dari 30.000 informasi pribadi petugas kesehatan AS baru-baru ini terungkap karena database yang tidak dilindungi kata sandi, menurut peneliti keamanan Jeremiah Fowler dan tim peretas etis dengan Website Planet.

Fowler menemukan database yang dijalankan oleh Gale Healthcare Solutions dengan 170.239 catatan terbuka yang mencakup nama, email, alamat rumah, foto dan dalam beberapa kasus Nomor Jaminan Sosial serta dokumen pajak.

ZDNet Merekomendasikan

Kunci keamanan terbaik 2021

Kunci keamanan terbaik 2021

Sementara kata sandi yang kuat sangat membantu mengamankan akun online Anda yang berharga, otentikasi dua faktor berbasis perangkat keras membawa keamanan itu ke tingkat berikutnya.

Baca selengkapnya

Gale Healthcare Solutions adalah perusahaan teknologi Tampa, Florida yang menghubungkan petugas kesehatan dengan organisasi perawatan kesehatan yang ingin mempekerjakan orang untuk shift tertentu. Perusahaan tidak menanggapi permintaan komentar berulang kali.

Fowler mengatakan informasi itu juga termasuk formulir tentang insiden tertentu, disiplin dan pemutusan hubungan kerja.

“Kami hanya meninjau sampel dokumen terbatas dan tidak meninjau setiap file. File dihosting di server cloud AWS dan banyak dokumen pendaftaran terbuka dan dapat diakses publik,” kata Fowler kepada ZDNet.

“Gambar yang saya lihat biasanya wajah atau tanda pengenal petugas kesehatan, tetapi urlnya berisi nama lengkap mereka, SSN, dan nomor yang sesuai dengan SSN. Berikut adalah contoh bagaimana tautan itu muncul: .com/gale-registration- document/documents/last_name_first_name-LPN/-SSN-*********.jpeg. Saya menelepon beberapa individu dan hanya memvalidasi bahwa ini adalah orang sungguhan dan informasi mereka cocok dengan yang ada di file.”

Fowler menjelaskan bahwa dia merasa tidak pantas untuk menanyakan SSN korban atau meminta mereka untuk memvalidasi informasi karena SSN sangat sensitif.

“Orang-orang ini memiliki pekerjaan yang cukup sulit tanpa orang asing yang tidak dikenal memanggil mereka dan membacakan SSN mereka kepada mereka. Jika nama, nomor telepon, dan lokasi orang-orang ini cocok dengan yang saya panggil dan validasikan, adalah logis untuk mengasumsikan bahwa nomor tersebut diindikasikan sebagai SSN kemungkinan besar akan nyata,” tambahnya.

“Saya hanya dapat berspekulasi bahwa seseorang di Gale mungkin berasumsi bahwa ini akan membuat pengelolaan konten lebih mudah jika tautan memiliki semua informasi yang diperlukan dan dapat dengan mudah diindeks dalam format yang dapat dibaca dan bukan struktur ID kode internal yang tidak dapat diidentifikasi secara lebih aman. Mereka juga mengabaikan bahwa URL ini jalur dan nama file tidak aman atau pribadi. Bahkan jika gambar tidak berisi gambar kartu SSN, paparan dalam teks numerik dari nama gambar juga merupakan risiko privasi dan ancaman identitas.”

Fowler dan peretas etis lainnya dengan Website Planet mencari kebocoran data serius dengan menyelidiki basis data terbuka dan tidak terlindungi yang ditemukan secara acak, tidak pernah menargetkan perusahaan tertentu.

170.239 catatan mencakup pekerja medis, perawat, dan pengasuh. Dalam sebuah laporan, Fowler menjelaskan bahwa alamat email internal, nama pengguna, dan kata sandi administratif disimpan dalam teks biasa.

Fowler dan timnya menghubungi Gale dan akses publik ke database ditutup pada hari yang sama. Perusahaan tidak pernah menjawab pertanyaan mereka.

Selama penyelidikan database, Fowler menemukan bahwa beberapa akun administratif menggunakan kata sandi yang lemah, mencatat bahwa dalam sampel 10.000 catatan, “Kata Sandi” muncul 2.921 kali.

“Kami juga dapat melihat beberapa akun Admin internal yang menggunakan kata sandi yang sangat mirip dan mudah. ​​Ini adalah pertama kalinya saya melihat nama lengkap dan nomor yang disebut ‘SSN’ dalam nama file yang sebenarnya. Secara teori, file tidak perlu dibuka untuk mengekspos data sensitif karena nama file saja berisi apa yang tampak seperti PII (informasi pengenal pribadi),” tambah Fowler.

“Pandemi Covid 19 telah memukul petugas kesehatan dengan jam kerja yang panjang dan banyak yang kelelahan secara fisik dan emosional. Rumah sakit di seluruh Amerika Serikat menderita kekurangan petugas kesehatan. Layanan apa pun yang memungkinkan rumah sakit untuk mengisi shift mereka sangat penting dan berharga. untuk pasien yang sakit. Sangat disayangkan bahwa insiden ini mungkin telah mengekspos data pekerja garis depan selama masa yang sudah sulit. Informasi pribadi petugas kesehatan yang tersedia untuk umum juga menimbulkan risiko pelecehan, intimidasi, atau penguntitan dunia maya yang tidak diinginkan.”

Fowler mengatakan tidak jelas berapa lama database tersebut telah diekspos dan siapa lagi yang mungkin telah mengaksesnya. Gale tidak menanggapi permintaan komentar tentang apakah mereka telah memberi tahu petugas kesehatan mana pun yang mungkin informasi sensitif mereka terpapar. Dia mengatakan perusahaan diharuskan untuk memberi tahu para korban sebagai bagian dari Undang-Undang Perlindungan Informasi Florida tahun 2014.

Posted By : togel hari ini hongkong