该数据库由Redcliffe Labs拥有,这是位于北方邦诺伊达的一家颇受欢迎的印度医疗诊断公司。
网络安全研究员Jeremiah Fowler发现了一个没有密码保护的数据库,其中包含超过1200万条记录。这些数据包括敏感的患者数据,如医疗诊断扫描、测试结果和其他医疗记录。福勒向网站星球报告了他的发现。
在调查过程中,Fowler发现医学检测结果包含了大量患者的个人信息,包括他们的姓名、医生的姓名、健康相关信息,以及患者是否在家中接受了检测或在医疗机构接受了检测。这些文件属于一家印度医疗诊断公司Redcliffe Labs。
该数据库的总大小为7TB,包含大约12,347,297条记录。有一些标有“Reports”的文件夹,其中包含1,180,000个对象(620.5GB)。文档文件夹标记智能报告存储有1,164,000个对象(1.5GB),标题为Test Results的文件夹有6,090,852个对象(2.2TB),其他文件夹包含内部文档、PDF、日志和应用程序文件等杂项文档。这些文件夹总共有3,912,445个对象(2.7 GB)。
除了大量的数据,暴露的数据库还包含了该公司的移动页面的开发文件,这些文件控制应用程序的功能和数据传输。
Redcliffe实验室是印度领先的诊断中心之一,提供超过3600种不同的健康和疾病测试。根据Redcliffe实验室的网站,该实验室拥有250万用户。该公司在 220 多个印度城市提供在家测试样品收集服务,并在全国拥有超过 2000 个健康和收集中心。
福勒赞同负责任的披露做法,并联系了该公司,后者迅速作出了回应。根据Folwer的博客文章,数据库的公共访问在同一天被限制。然而,目前尚不清楚这一数据库暴露了多长时间,以及是否有任何未经授权的个人访问过它。
这些违规行为可能对患者产生深远的影响,因为他们可能面临身份盗窃、医疗欺诈和敲诈勒索。如果与移动应用相关的数据落入坏人之手,网络罪犯可以利用它发动网络攻击,破坏应用程序的功能,并危及移动用户的安全。
最大的风险因素是应用程序代码的暴露,威胁参与者可以操纵这些代码注入恶意代码,破坏应用程序,添加未经授权的功能,并注入恶意软件。这种暴露可能会使数百万人面临风险,因为公开的代码可以用于评估/反向工程应用程序,以揭示漏洞,从而导致进一步的攻击。
Redcliffe实验室尚未澄清是否已将数据暴露情况通知了有关当局或受影响的个人。此外,没有迹象表明该公司的移动应用程序受到了破坏,或者有人在受到限制之前就已经访问了患者数据。