近日，安全研究人員耶利米·福勒（Jeremiah Fowler）在Secure Thoughts上發(fā)表文章稱，他發(fā)現(xiàn)近260萬條包含姓名、醫(yī)療診斷記錄、保險(xiǎn)記錄和支付記錄在內(nèi)的個(gè)人病歷數(shù)據(jù)被泄露了。福勒指出，不少被泄露的數(shù)據(jù)都指向一家名叫Cense的美國AI公司。

福勒寫道，他在7月7日發(fā)現(xiàn)了兩個(gè)含有醫(yī)療數(shù)據(jù)記錄的文件夾，里面總計(jì)有2594261條數(shù)據(jù)，而且任何人都可以通過互聯(lián)網(wǎng)查看這些數(shù)據(jù)。這些數(shù)據(jù)儲(chǔ)存在與Cense網(wǎng)站相同的IP地址上，并被標(biāo)記為緩存數(shù)據(jù)，因此他猜測，這是Cense在將數(shù)據(jù)加載到公司的管理系統(tǒng)或AI Bot中之前暫時(shí)將其儲(chǔ)存在網(wǎng)上。

根據(jù)Cense的官網(wǎng)顯示，該公司是可幫助企業(yè)實(shí)現(xiàn)智能流程自動(dòng)化的SaaS平臺(tái)，致力于為醫(yī)療衛(wèi)生、人力資源流程、生成潛在客戶等多個(gè)領(lǐng)域提供AI解決方案。

在抽樣查看后，福勒發(fā)現(xiàn)這些數(shù)據(jù)大多記錄的是在車禍中遭遇脊椎或頸部受傷的人，并可以看到由汽車保險(xiǎn)服務(wù)商提供的保險(xiǎn)單號(hào)、理賠號(hào)、事故日期等信息。而且，他看到的數(shù)據(jù)都來自于美國紐約州。

為了驗(yàn)證數(shù)據(jù)的真實(shí)性，福勒使用搜索引擎查詢了其中幾個(gè)非?；逎颡?dú)特的名字。結(jié)果顯示，在整個(gè)美國只有一或兩個(gè)名字、地理位置和年齡范圍都與此匹配的人。

在進(jìn)行數(shù)據(jù)驗(yàn)證后，福勒向Cense發(fā)送了一份負(fù)責(zé)任的披露通知，不久之后，他發(fā)現(xiàn)訪問這兩個(gè)包含醫(yī)療數(shù)據(jù)的文件夾受到了限制。但是，他也指出，如果有人在此之前發(fā)現(xiàn)了這個(gè)漏洞，那么可能已經(jīng)造成了損失。

福勒還提到，醫(yī)療數(shù)據(jù)是黑市上最有價(jià)值的信息。根據(jù)信息安全公司Trustwave的報(bào)告，在黑市上，每條醫(yī)療記錄的售價(jià)最高可達(dá)250美元，與之對(duì)比，排名第二高的信用卡支付記錄售價(jià)為每條5.40美元。因此，福勒提醒道，公司和組織必須用更好的措施來保護(hù)他們所收集和儲(chǔ)存的數(shù)據(jù)，特別是當(dāng)數(shù)據(jù)包含醫(yī)療信息和患者的個(gè)人信息時(shí)，切勿以純文本的形式存儲(chǔ)。

隨著新冠疫情的蔓延，遠(yuǎn)程辦公成為越來越多公司的選擇。此前，IBM發(fā)布報(bào)告稱，76%的受訪者認(rèn)為，在線辦公會(huì)增加發(fā)現(xiàn)和控制數(shù)據(jù)泄露所需的時(shí)間。而且，在所有行業(yè)中，醫(yī)療衛(wèi)生行業(yè)為數(shù)據(jù)泄露付出了最高的代價(jià)，平均成本高達(dá)713萬美元。

在接受Tech Central采訪時(shí)，IBM X-Force IRIS的高級(jí)威脅分析師Charles Debeck說，就數(shù)據(jù)泄露的平均成本而言，醫(yī)療衛(wèi)生行業(yè)已經(jīng)連續(xù)十年排名第一。 Debeck還指出，醫(yī)療衛(wèi)生行業(yè)中的數(shù)據(jù)泄露往往持續(xù)更長的時(shí)間，約為329天，而所有行業(yè)的平均時(shí)間為280天，因此導(dǎo)致了更大的損失。