„Uber für Pflegekräfte“: Mehr als 86.000 Krankenakten und personenbezogene Daten über einen öffentlich zugänglichen S3-Bucket offengelegt

 (websiteplanet.com)
1 Punkte von GN⁺ 2025-03-14 | 1 Kommentare | Auf WhatsApp teilen

Tausende Datensätze, einschließlich PII, online offengelegt

  • Die Datenbank des in New Jersey ansässigen Healthtech-Unternehmens ESHYFT war ohne Passwortschutz öffentlich zugänglich. Das Unternehmen verbindet über eine mobile App-Plattform Gesundheitseinrichtungen und Pflegekräfte.
  • Die offengelegte Datenbank umfasste 86.341 Datensätze mit einer Gesamtgröße von 108,8 GB. Enthalten waren unter anderem Profilfotos von Nutzern, Schichtprotokolle, berufliche Zertifikate, Arbeitsverträge und Lebensläufe.
  • Einige Dokumente enthielten auch medizinische Unterlagen mit Diagnosen, Rezepten und Behandlungsinformationen, was möglicherweise gegen HIPAA-Vorgaben verstößt.
  • Die Datenbank scheint ESHYFT zu gehören; nach der Entdeckung wurde das Unternehmen benachrichtigt, und einen Monat später wurde der Zugriff eingeschränkt.

Rolle und Bedeutung von ESHYFT

  • ESHYFT bietet eine mobile Plattform, die Gesundheitseinrichtungen und Pflegekräfte miteinander verbindet, und ist in 29 Bundesstaaten aktiv.
  • Die App ermöglicht es Pflegekräften, Schichten passend zu ihrem eigenen Zeitplan auszuwählen, und bietet Gesundheitseinrichtungen verifiziertes Pflegepersonal.
  • Im Google Play Store wurde die App mehr als 50.000 Mal heruntergeladen.

Risiken durch die Offenlegung personenbezogener Daten

  • Die Offenlegung personenbezogener Daten (PII), von Gehaltsinformationen und Beschäftigungsverläufen kann sowohl für Einzelpersonen als auch für Arbeitgeber erhebliche Risiken und Schwachstellen schaffen.
  • Werden Informationen wie Ausweisdaten und Adressen kombiniert, können Cyberkriminelle Identitätsdiebstahl oder Finanzbetrug begehen.
  • Die offengelegten Informationen könnten für Phishing-Kampagnen missbraucht werden, um Betroffene zu weiteren persönlichen oder finanziellen Angaben zu verleiten.

Empfohlene Maßnahmen zur Stärkung der Sicherheit

  • Healthtech-Unternehmen und Anbieter von medizinischer Software sollten proaktive Cybersecurity-Maßnahmen ergreifen, um Daten zu schützen und unbefugten Zugriff zu verhindern.
  • Verbindliche Verschlüsselungsprotokolle für sensible Daten sowie regelmäßige Sicherheitsaudits der internen Infrastruktur sind notwendig.
  • Sensible Daten sollten, wo immer möglich, anonymisiert werden, und für nicht genutzte Daten sollten Aufbewahrungsfristen festgelegt werden, um die Speicherung zu begrenzen.
  • Es sollte Multi-Faktor-Authentifizierung (MFA) vorgeschrieben werden, damit ein Zugriff selbst bei kompromittierten Zugangsdaten nicht einfach möglich ist.
  • Es sollten Pläne für den Umgang mit Datenpannen und dedizierte Kommunikationskanäle für die Meldung von Sicherheitsvorfällen eingerichtet werden.

Fazit

  • Im Fall einer Datenpanne sollte allen potenziell Betroffenen schnell und verantwortungsvoll Bescheid gegeben werden.
  • Nutzer sollten darin geschult werden, Phishing-Versuche zu erkennen; davon profitieren sowohl Dienstanbieter als auch Nutzer.
  • Dieser Bericht wurde zu Bildungszwecken erstellt und spiegelt keine tatsächliche Beeinträchtigung der Datenintegrität wider.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-14
Hacker-News-Kommentare
  • Ich habe kürzlich von einem Unternehmen gehört, das vor der Vermittlung von Auftritten anhand von Kreditauskünften das Schuldenniveau einer Person ermittelt und darauf basierend den Stundenlohn senkt
    • Falls es negative Folgen für solche Verstöße gibt, sollten sie den Preis dafür in vollem Maß zahlen
  • Im Abschnitt zur Datensicherheit ihrer Datenschutzrichtlinie steht Folgendes
    • Wir verwenden bestimmte physische, administrative und technische Schutzmaßnahmen, um die Integrität und Sicherheit der von uns gesammelten und gespeicherten Informationen zu verbessern
    • Keine Sicherheitsmaßnahme ist perfekt oder unüberwindbar
    • Das System ist nicht dafür ausgelegt, Informationen zu speichern oder zu schützen, die als nach HIPAA definierte geschützte Gesundheitsinformationen gelten könnten
    • Ich frage mich, ob sie sich mit der Ausrede, dass das System nicht als HIPAA-konform konzipiert wurde, der Verantwortung entziehen können
  • Die Leute sind wegen des Autoritätsgrads von medizinischem Fachpersonal verwirrt
    • Man sollte Ärzten oder Krankenhäusern niemals die Sozialversicherungsnummer geben
    • Wenn sie einen Identitätsnachweis sehen wollen, heißt das nicht, dass sie ihn scannen oder fotografieren dürfen
    • Ärzte und Krankenhäuser sind bei der Informationssicherheit extrem schwach aufgestellt
  • Die Gesundheitsbranche ist insgesamt voller Probleme
    • Billige, von Unternehmen betriebene Krankenhäuser stellen Pflegekräfte nicht fest an
    • Die niedrigen Kosten haben Krankenhäuser wohl zu dieser App getrieben, und möglicherweise gab es Kickbacks für die Manager, die sie genehmigt haben
    • ESHYFT sollte bankrottgehen, aber wahrscheinlich wird nichts passieren
  • Ich frage mich, wie alt der S3-Bucket ist
    • AWS hat neue S3-Buckets standardmäßig auf privat gesetzt
    • Vielleicht ist er alt, oder er wurde leichtsinnig geöffnet, weil man sonst in der mobilen App bzw. im Dienst keine Dateien hoch- oder herunterladen konnte
  • Ich frage mich, ob man AWS dafür die Schuld geben sollte
    • Sicherheitspraktiken für nächtliche 3-Uhr-Hacks für Freunde gelten nicht für ein Produkt, das PII hostet
    • Die grundlegende Datensicherheit umzusetzen, liegt in der Verantwortung des Nutzers
  • Ich frage mich, warum man die Formulierung "Uber für Pflegekräfte" verwendet hat und nicht den tatsächlichen Firmennamen im Titel
  • Ich frage mich, ob man nur so tut, als könnten noch funktionsfähige Aufsichtsbehörden in dieser Sache tätig werden
  • Ich habe im Healthtech-Bereich gearbeitet, und das ist ein sehr ernstes Problem
    • Man wird pro Patientenakte mit Bußgeldern belegt, und die sind nicht billig
    • Es landet an der "wall of shame", und Leute, mit denen man künftig Geschäfte machen könnte, sehen das
    • Wenn man einen Fehler macht, kann man persönlich haftbar gemacht werden
    • Bei meinem früheren Arbeitgeber haben wir dafür gesorgt, dass PII nicht über die API übertragen wird, und sie auf einem vollständig vom System getrennten VPS gespeichert
    • Wenn ein Datensatz benötigt wurde, legten wir ihn in einen S3-Bucket und stellten einen temporären Link bereit, auf den nur der Aufrufer zugreifen konnte
    • Das war sehr umständlich, aber man konnte beruhigt schlafen
  • Ich habe einmal eine wissenschaftliche Arbeit gelesen, nach der Berufe, die Leidenschaft erfordern, am schlechtesten bezahlt sind bzw. am stärksten überarbeitet werden
    • Zum Beispiel: Lehrer, Pflegekräfte, Musiker, Sportler