'간호사 우버', 공개된 S3 버킷 통해 86,000개 이상의 의료 기록 및 개인 식별 정보 노출 사건
(websiteplanet.com)수천 개의 기록, PII 포함, 온라인에 노출됨
- ESHYFT라는 뉴저지 기반의 헬스테크 회사의 데이터베이스가 비밀번호 보호 없이 노출됨. 이 회사는 모바일 앱 플랫폼을 통해 의료 시설과 간호사를 연결함.
- 노출된 데이터베이스는 86,341개의 기록을 포함하며, 총 108.8GB의 크기임. 데이터베이스에는 사용자 프로필 사진, 근무 일정 로그, 전문 자격증, 근무 계약서, 이력서 등이 포함되어 있었음.
- 일부 문서에는 진단, 처방전, 치료 정보가 포함된 의료 문서도 있었으며, 이는 HIPAA 규정을 위반할 가능성이 있음.
- 데이터베이스는 ESHYFT의 소유로 보이며, 발견 후 회사에 알림을 보냈고, 한 달 후에 접근이 제한됨.
ESHYFT의 역할과 중요성
- ESHYFT는 의료 시설과 간호사를 연결하는 모바일 플랫폼을 제공하며, 29개 주에서 운영됨.
- 이 앱은 간호사들이 자신의 일정에 맞는 근무를 선택할 수 있도록 하며, 의료 시설에는 검증된 간호 인력을 제공함.
- Google Play Store에서 50,000회 이상 다운로드됨.
개인정보 노출의 위험성
- 개인 식별 정보(PII), 급여 정보, 근무 이력의 노출은 개인과 고용 기관 모두에게 심각한 위험과 취약성을 초래할 수 있음.
- 신분증, 주소 등의 정보가 결합되면 사이버 범죄자들이 신원 도용이나 금융 사기를 저지를 수 있음.
- 노출된 정보는 피싱 캠페인에 악용될 수 있으며, 피해자에게 추가적인 개인 또는 금융 정보를 유도할 수 있음.
보안 강화 권장 사항
- 헬스테크 회사와 의료 소프트웨어 제공업체는 데이터 보호와 무단 접근 방지를 위한 적극적인 사이버 보안 조치를 취해야 함.
- 민감한 데이터의 암호화 프로토콜을 의무화하고, 내부 인프라의 정기적인 보안 감사가 필요함.
- 민감한 데이터는 가능한 한 익명화하고, 사용되지 않는 데이터는 만료일을 지정하여 저장을 제한해야 함.
- 다중 인증(MFA)을 요구하여 사용자 자격 증명이 노출되더라도 쉽게 접근할 수 없도록 해야 함.
- 데이터 유출 대응 계획과 보안 사고 보고를 위한 전용 커뮤니케이션 채널을 마련해야 함.
결론
- 데이터 유출 시, 영향을 받을 수 있는 모든 사람에게 신속한 책임 있는 공지를 제공해야 함.
- 사용자는 피싱 시도를 인식하는 방법에 대해 교육받아야 하며, 이는 서비스 제공자와 사용자 모두에게 이익이 됨.
- 이 보고서는 교육 목적으로 작성되었으며, 실제 데이터 무결성의 손상을 반영하지 않음.
Hacker News 의견
- 최근에 어떤 회사에 대해 들었는데, 그 회사는 공연을 제공하기 전에 신용 보고서를 통해 개인의 부채 수준을 파악하고, 이를 바탕으로 시간당 요금을 낮춘다고 함
- 이러한 위반에 대한 부정적인 결과가 있다면, 그들은 충분히 그 대가를 받아야 함
- 그들의 개인정보 보호정책의 데이터 보안 섹션에서는 다음과 같이 명시되어 있음
- 우리는 수집하고 유지하는 정보의 무결성과 보안을 개선하기 위해 특정 물리적, 관리적, 기술적 보호 조치를 사용함
- 어떤 보안 조치도 완벽하거나 뚫을 수 없는 것은 아님
- HIPAA에 정의된 보호 건강 정보로 간주될 수 있는 정보를 저장하거나 보호하도록 설계되지 않음
- 시스템이 HIPAA 준수로 설계되지 않았다는 변명으로 책임을 회피할 수 있는지 의문임
- 의료 전문가의 권위 수준 때문에 사람들이 혼란스러워함
- 의사나 병원에 사회 보장 번호를 절대 제공하지 말아야 함
- 신분증 확인을 원할 때 스캔하거나 사진을 찍는 것을 의미하지 않음
- 의사와 병원은 정보 보안에 매우 취약함
- 의료 산업은 전반적으로 문제가 많음
- 저렴하고 기업 소유의 병원들이 간호사를 정규직으로 고용하지 않음
- 저렴함이 병원들을 이 앱으로 이끌었고, 이를 승인한 관리자들에게 리베이트를 제공했을 가능성이 있음
- ESHYFT가 파산해야 하지만, 아마도 아무 일도 일어나지 않을 것임
- S3 버킷이 얼마나 오래되었는지 궁금함
- AWS는 새로운 S3 버킷을 기본적으로 비공개로 설정했음
- 오래된 것이거나 모바일 앱/서비스에서 파일을 업로드/다운로드할 수 없어서 무모하게 열었을 가능성이 있음
- AWS를 비난할 것인지 궁금함
- 친구들을 위해 새벽 3시에 해킹할 때의 보안 절차는 PII를 호스팅하는 제품에 적용되지 않음
- 기본 데이터 보안을 구현하는 것은 사용자에게 달려 있음
- 왜 "Uber for nurses"라는 표현을 사용하고 실제 회사 이름을 제목에 사용하지 않았는지 궁금함
- 여전히 기능하는 규제 기관이 이 문제에 대해 조치를 취할 수 있다고 가장하는 것인지 궁금함
- 의료 기술 분야에서 일했는데, 이는 매우 심각한 문제임
- 환자 기록당 벌금을 부과받고, 이는 저렴하지 않음
- "수치의 벽"에 올라가며, 미래에 거래할 수 있는 사람들이 이를 볼 수 있음
- 실수하면 개인적으로 책임을 질 수 있음
- 이전 직장에서는 PII가 API를 통해 전달되지 않도록 했고, 시스템과 완전히 분리된 VPS에 보관했음
- 기록이 필요할 때는 S3 버킷에 넣고, 호출자만 접근할 수 있는 임시 링크를 제공했음
- 매우 번거롭지만 안심하고 잠들 수 있었음
- 열정이 필요한 직업이 가장 저임금/과로라는 연구 논문을 읽은 적이 있음
- 예: 교사, 간호사, 음악가, 스포츠인