近日，安全研究人員耶利米·福勒（Jeremiah Fowler）在Secure Thoughts上發(fā)表文章稱，他發(fā)現(xiàn)近260萬條包含姓名、醫(yī)療診斷記錄、保險記錄和支付記錄在內(nèi)的個人病歷數(shù)據(jù)被泄露了。福勒指出，不少被泄露的數(shù)據(jù)都指向一家名叫Cense的美國AI公司。

福勒寫道，他在7月7日發(fā)現(xiàn)了兩個含有醫(yī)療數(shù)據(jù)記錄的文件夾，里面總計有2594261條數(shù)據(jù)，而且任何人都可以通過互聯(lián)網(wǎng)查看這些數(shù)據(jù)。這些數(shù)據(jù)儲存在與Cense網(wǎng)站相同的IP地址上，并被標(biāo)記為緩存數(shù)據(jù)，因此他猜測，這是Cense在將數(shù)據(jù)加載到公司的管理系統(tǒng)或AI Bot中之前暫時將其儲存在網(wǎng)上。

根據(jù)Cense的官網(wǎng)顯示，該公司是可幫助企業(yè)實現(xiàn)智能流程自動化的SaaS平臺，致力于為醫(yī)療衛(wèi)生、人力資源流程、生成潛在客戶等多個領(lǐng)域提供AI解決方案。

在抽樣查看后，福勒發(fā)現(xiàn)這些數(shù)據(jù)大多記錄的是在車禍中遭遇脊椎或頸部受傷的人，并可以看到由汽車保險服務(wù)商提供的保險單號、理賠號、事故日期等信息。而且，他看到的數(shù)據(jù)都來自于美國紐約州。

為了驗證數(shù)據(jù)的真實性，福勒使用搜索引擎查詢了其中幾個非?；逎颡?dú)特的名字。結(jié)果顯示，在整個美國只有一或兩個名字、地理位置和年齡范圍都與此匹配的人。

在進(jìn)行數(shù)據(jù)驗證后，福勒向Cense發(fā)送了一份負(fù)責(zé)任的披露通知，不久之后，他發(fā)現(xiàn)訪問這兩個包含醫(yī)療數(shù)據(jù)的文件夾受到了限制。但是，他也指出，如果有人在此之前發(fā)現(xiàn)了這個漏洞，那么可能已經(jīng)造成了損失。

福勒還提到，醫(yī)療數(shù)據(jù)是黑市上最有價值的信息。根據(jù)信息安全公司Trustwave的報告，在黑市上，每條醫(yī)療記錄的售價最高可達(dá)250美元，與之對比，排名第二高的信用卡支付記錄售價為每條5.40美元。因此，福勒提醒道，公司和組織必須用更好的措施來保護(hù)他們所收集和儲存的數(shù)據(jù)，特別是當(dāng)數(shù)據(jù)包含醫(yī)療信息和患者的個人信息時，切勿以純文本的形式存儲。

隨著新冠疫情的蔓延，遠(yuǎn)程辦公成為越來越多公司的選擇。此前，IBM發(fā)布報告稱，76%的受訪者認(rèn)為，在線辦公會增加發(fā)現(xiàn)和控制數(shù)據(jù)泄露所需的時間。而且，在所有行業(yè)中，醫(yī)療衛(wèi)生行業(yè)為數(shù)據(jù)泄露付出了最高的代價，平均成本高達(dá)713萬美元。

在接受Tech Central采訪時，IBM X-Force IRIS的高級威脅分析師Charles Debeck說，就數(shù)據(jù)泄露的平均成本而言，醫(yī)療衛(wèi)生行業(yè)已經(jīng)連續(xù)十年排名第一。 Debeck還指出，醫(yī)療衛(wèi)生行業(yè)中的數(shù)據(jù)泄露往往持續(xù)更長的時間，約為329天，而所有行業(yè)的平均時間為280天，因此導(dǎo)致了更大的損失。