数千条记录，包括 PII，在连接医疗机构和护士的医疗保健市场在线暴露

作者：Jeremiah Fowler

上次更新：2025 年 3 月 11 日

网络安全研究员 Jeremiah Fowler 发现并报告给 Website Planet 一个未受密码保护的数据库，其中包含超过 86,000 条属于 ESHYFT 的记录——这是一家总部位于新泽西州的 HealthTech 公司，业务遍及 29 个州。 它提供一个移动应用平台，将医疗机构与医疗保健工作者连接起来，包括注册护士助理 (CNA)、执业护士 (LPN) 和注册护士 (RN)。

这个公开暴露的数据库没有密码保护或加密。 它包含 86,341 条记录，总计 108.8 GB 大小。 大部分文档都包含在一个标记为“App”的文件夹中。 在对暴露的文档进行有限抽样时，我看到了包含用户个人资料或面部图像、包含每月工作时间安排日志的 .csv 文件、专业证书、工作分配协议、包含其他 PII 的简历。 一个单独的电子表格文档包含 800,000 多个条目，详细说明了护士的内部 ID、设施名称、轮班时间和日期、工作时长等。 我还看到了似乎上传到应用程序的医疗文件。 这些文件可能是作为个别护士缺勤或请病假的原因证明而上传的。 这些医疗文件包括包含诊断、处方或治疗信息的医疗报告，这些信息可能属于 HIPAA 法规的范围。 数据库的名称以及其中的文档表明这些记录属于 ESHYFT。 我立即向该公司发送了负责任的披露通知，并且该数据库在一个多月后被限制公开访问。 我收到了一封回复，感谢我的通知，并表示：“谢谢！ 我们正在积极调查此事并努力寻找解决方案”。 目前尚不清楚该数据库是由 ESHYFT 直接拥有和管理，还是通过第三方承包商拥有和管理。 也不知道在我发现它之前，该数据库暴露了多长时间，或者是否有人获得了访问权限。 只有内部取证审计才能识别其他访问或潜在的可疑活动。

ESHYFT 提供了一个移动平台，将医疗机构与合格的护理专业人员联系起来。 它在 Apple App Store 和 Google Play Store 上均有提供。 Apple 不再提供用户统计信息，但 ESHYFT 应用程序已从 Google Play Store 下载超过 50,000 次。 该应用程序声称为护士提供灵活选择适合自己时间表的轮班，同时为医疗机构提供经过审查的 W-2 护理人员，以满足他们的需求。 该平台在美国以下州提供：AL、AZ、AR、CA、CT、DE、FL、GA、IL、IN、IA、KS、KY、MD、MI、MN、MO、NE、NJ、OH、PA、RI、SC、TN、VT、VA、WA、WI 和 WV。

此屏幕截图拼贴显示了身份或税务文件如何在数据库中显示。

此拼贴显示了应用用户的个人资料图片如何在数据库中显示。 一些包括显示医疗 ID 或其他凭据的挂绳。

此屏幕截图显示了一份包含 PII、医生数据以及有关索赔的其他信息的残疾索赔文件。

此屏幕截图显示了一个医疗访问摘要，其中披露了 PII 和诊断结果。

此屏幕截图显示了 .csv 文件如何在数据库中显示。 这些文件被不同地标记为时间卡、用户地址、禁用用户和各种与用户相关的信息。 ❮❯

×

卫生资源和服务管理局 (NCHWA) 的一份报告预测，到 2027 年，全国注册护士将短缺 10%。 随着对医疗保健工作者的需求不断增长，像 ESHYFT 这样的平台在填补这些人员短缺方面发挥着重要作用。 这意味着执行线下工作（如护理）的工作人员现在与在线技术集成，并且 healthtech 公司需要实施强大的隐私保护措施，以安全地弥合这一差距。 随着越来越多的医院和医疗保健工作者依赖技术进行数据存储、护理管理和就业，整个行业对加强网络安全措施的需求是不可避免的。 医院被认为是关键基础设施，并且经常成为网络犯罪分子的目标。 近年来，许多网络遭受了毁灭性的勒索软件攻击。 我认为，医生、护士和工作人员的数据和 PII 与医疗保健设施本身同等重要。 任何暴露护理专业人员的个人身份信息 (PII)、薪资详细信息和工作经历都可能导致重大的潜在风险和漏洞——无论是对受影响的个人还是雇用他们的医疗机构。 身份证明文件（例如驾驶执照或社会保障卡）的扫描件，如果与地址和其他联系方式结合在一起，可能会为网络犯罪分子提供以受害者名义实施身份盗窃或金融欺诈的途径。 暴露个人和专业详细信息的另一个潜在风险是高度有针对性的网络钓鱼活动，这些活动可能会使用真实信息来欺骗受害者，进行就业诈骗，或诱使他们泄露其他个人或财务数据。 我并不是在暗示或暗示 ESHYFT 的数据或其用户的数据存在任何类型的诈骗或欺诈活动风险，或者以任何方式受到损害。 我只是对与个人身份信息暴露相关的潜在网络安全风险提供一般性观察。 此评论仅旨在强调隐私和网络安全考量的更广泛前景。

我对 healthtech 公司和医疗软件提供商的建议是采取积极的网络安全措施来保护其数据并防止未经授权的访问。 这将包括敏感数据的强制加密协议和对内部基础设施的定期安全审计，以识别潜在的漏洞。 始终最好限制敏感数据的存储并尽可能匿名化记录。 这包括在数据不再使用时为其分配到期日期。 在这种特殊情况下，用户文件似乎被上传到单个文件夹，而不是根据其敏感性进行隔离。 例如，用户的个人资料图像可能具有较低的敏感度评级，而医疗检查的证明可能具有较高的敏感度评级。 从理论上讲，这两个文档不应存储在同一文件夹中。 当敏感数据被隔离和加密时，它会在发生意外暴露或恶意攻击时增加额外的保护层。 此外，多因素身份验证 (MFA) 应该对用户可以访问潜在敏感信息或文档的任何应用程序都是必需的。 通过要求 MFA，即使用户凭据（如用户名和密码）泄露，某人也很难仅通过登录即可完全访问应用程序或用户仪表板。 最后，对于任何规模的 healthtech 公司，制定数据泄露响应计划和用于报告潜在安全事件的专用通信渠道是一个好主意。 我经常观察到，公司只列出了客户支持或销售联系人，而忽略了在发生数据泄露时需要采取行动的关键利益相关者的联系信息。 当敏感数据公开暴露时，每一秒都很重要，缓解和恢复过程中的任何延误都可能造成灾难性后果。** 及时向可能直接受到违规影响的任何人发出负责任的披露通知也很重要。 在发生任何数据事件后，应通知用户并告知他们如何识别与可能受到损害的特定应用程序或服务相关的网络钓鱼尝试。 保护用户免受社会工程和网络钓鱼尝试的实际风险是有道理的，并且有利于服务提供商和用户或客户。

我没有暗示 Shiftster LLC dba ESHYFT、任何承包商或附属公司存在任何不当行为。 我不声称内部数据或用户数据曾经处于迫在眉睫的风险之中。 我在本报告中提出的假设数据风险场景仅用于教育目的，并不反映数据的任何实际损害。 它不应被解释为对任何组织的特定实践、系统或安全措施的反映。

作为一名道德安全研究员，我不会下载我发现的数据。 我只拍摄有限数量的屏幕截图，仅用于验证目的。 我不会进行任何超出识别安全漏洞和通知相关方的活动。 我不承担因本披露而可能采取的任何和所有行动的任何责任。 我发布我的发现是为了提高人们对数据安全和隐私问题的认识。 我的目标是鼓励组织主动保护敏感信息免受未经授权的访问。

Jeremiah Fowler

Jeremiah Fowler 是安全研究员和 Security Discovery 的联合创始人。 Jeremiah 于 2015 年开始了他的安全研究职业生涯，其使命是数据保护。 他帮助识别并保护了全球数百万人的数据。 他的发现已在《福布斯》、《BBC》、《Gizmodo》等媒体上报道。 安全和负责任的披露不仅是一种热情，也是一种保护我们数字生活的方式。