安全研究员杰里迈亚·福勒与网站星球研究团队一起发现了一个不受密码保护的数据库,该数据库共包含170239条记录。这些数据包含医务人员、护士和护理人员的详细信息。这些员工档案公开了姓名、电话、电子邮件和家庭地址。这些账户还包含指向员工图像的链接、显示凭证的文件以及税务文件(SSN/社保号)。
数据集中多次引用“UseGale”。这些文件包括明文形式的内部电子邮件地址、用户名和管理密码。名为“Employees”的文件夹中有包含@usegale的记录。带有“公司内部员工”标识的com域。此域用于推广医疗人员配置公司Gale healthcare Solutions的移动应用程序。我们立即向多个地址发送了一份负责任的披露通知,公众访问在同一天被关闭。
根据他们的网站“Gale应用程序使用最新的移动技术,将需要临床人才的医疗机构与我们庞大的本地护士和护理人员网络连接起来。有了Gale,医疗机构可以在几秒钟内填补空缺,轻松掌握合规性,不再担心人员短缺。”
公开了哪些数据:
两个文件夹中的记录总数:170239。联系139k和员工31.5k。(在大量记录样本中,这些记录似乎是唯一的,没有重复)
内部记录,包括名字和姓氏、电话、电子邮件、家庭地址、雇佣日期、申请日期、技能水平,有些记录有详细的事件和终止记录。在纯文本中,用户名似乎是账户中列出的用户名或电子邮件地址。我们假设这允许访问应用程序或员工门户。
指向AWS存储帐户的链接包含员工的照片和名为“SSN卡”或“凭证”的文件
图像的格式包含员工的全名和文件名中名为“SSN”的数字。下面是一个文件名示例:https://REDACTED.com/gale-registration-documents/documents/Jane-Doe-CNA/Jane_Doe-CNA-SocialSecurityCard-123456789.jpeg
This暴露的数据可能被用于一系列犯罪,包括身份盗窃、诈骗和勒索。通过电子邮件地址,网络犯罪分子可以利用内部信息发起有针对性的网络钓鱼活动或社会工程攻击,以建立信任。
存储文件还暴露了数据存储的位置以及可能成为次要目标的子文件夹。
纪律、解雇和其他不应公开披露的工作相关问题的详细记录。
这种暴露的风险
对于雇主和网络罪犯来说,就业记录都是信息宝库。身份盗窃是一场噩梦,可能需要数年时间才能从中恢复过来,并在这个过程中造成重大的经济损失。罪犯利用个人身份信息,如你的姓名、社会安全号码和家庭地址,获取个人经济利益。
一旦罪犯掌握了必要的数据,他们就可以申请信用卡、贷款、服务、提交虚假纳税申报表等等。这些信息可以通过黑暗网络收集并出售给世界各地的其他罪犯。其中许多罪犯位于世界上几乎不可能将他们绳之以法的地区。2020年,身份盗窃的总成本达到创纪录的560亿美元。有这么多钱可以赚,显然身份盗窃和欺诈短期内不会有任何进展。
弱密码是一个非常大的安全威胁。简单的密码和重复使用的密码可以允许未经授权访问帐户、接管帐户、窃取数据和其他形式的网络攻击。在对10000条记录的抽样调查中,“密码”出现了2921次。我们还可以看到多个内部管理员帐户使用非常相似和简单的密码。我们强烈建议组织和用户对任何包含敏感用户数据的帐户使用复杂密码。强密码的安全标准应至少包含12个字符。它们应该是大小写字母、数字的组合,并包括任何特殊字符。
文件安全和文档名
图像或文件名也可能是数据安全风险。收集和存储数据的组织通常使用内部ID号或其他方法隐藏或隐藏文件名或文件夹名上的任何个人数据。这是我第一次看到全名和实际文件名中名为“SSN”的数字。理论上,文件不必打开以暴露敏感数据,因为文件名本身就包含了似乎是PII(个人识别信息)的内容。
新冠肺炎大流行对医护人员造成了长时间的沉重打击,许多人身心疲惫。美国各地的医院都面临着医护人员短缺的问题。任何允许医院轮班的服务对病人来说都是极其重要和有价值的。不幸的是,这一事件可能在本已困难的时期暴露了一线工作人员的数据。医护人员公开的私人信息也会带来不必要的骚扰、恐吓或网络跟踪的风险。
目前尚不清楚该数据库被暴露了多长时间,以及其他谁可能获得了公开访问记录的权限。还不清楚医务人员或当局是否按照2014年《佛罗里达州信息保护法》(FIPA)的要求收到了潜在接触的通知。
我们没有暗示Gale Healthcare Solutions、其合作伙伴或用户有任何不当行为,我们正在强调我们的发现,以提高数据保护意识并推广网络安全最佳做法。我们的使命是保护数据和保护公开的信息。在我们向Gale Healthcare Solutions发送负责任的披露通知后数小时内,公众访问受到限制。截至发布时,我们尚未收到Gale Healthcare Solutions的任何回复。我们不下载或提取任何敏感信息,并尽一切善意努力保护任何可能受影响个人的隐私。