全美29州逾8.6万名医护人员信息因AWS S3存储桶配置错误遭泄露

近日 ，全美一起涉及医护人员敏感信息的州逾遭泄大规模数据泄露事件被发现，总部位于新泽西州的医护因健康科技公司ESHYFT的超过8.6万条记录被暴露。

网络安全研究员 Jeremiah Fowler 发现了一个未受保护的信息 AWS S3 存储桶，其中包含约 108.8 GB 的存储桶错误数据，这些数据缺乏密码保护或加密，配置导致医护人员的全美私人信息可以公开访问。

配置错误的州逾遭泄云存储中包含了高度敏感的个人身份信息（PII），包括个人照片、云计算医护因工作日程 、信息专业证书以及可能受《健康保险可携性和责任法案》（HIPAA）保护的存储桶错误医疗文件，这让遍布29个州的配置医护人员面临重大风险。

泄露的全美敏感数据

未受保护的AWS S3存储桶中包含了86,341条记录 ，大多数文件存储在一个名为“App”的州逾遭泄文件夹中
。

在调查过程中 ，医护因Fowler发现了多种包含敏感信息的文件类型，包括用户的头像照片、记录每月工作日程的源码下载CSV文件 、专业证书、工作分配协议以及包含额外PII的简历。

病历文件中包含PII 、医生数据及其他信息

其中一份电子表格文件包含了超过80万条记录
，详细记录了护士的内部ID、工作机构名称、值班日期和时间以及工作时长 ，构成了医护人员的完整数据集
。

最令人担忧的是，一些医疗文件被上传作为缺勤或病假的建站模板证明 ，这些文件包含诊断 、处方和治疗信息，可能属于HIPAA的保护范围
。

在发现暴露的S3存储桶后，Fowler立即按照标准安全研究协议向ESHYFT发送了责任披露通知。

尽管泄露的数据至关重要，但数据库的公开访问权限仅在初次通知一个多月后才被限制
 。ESHYFT在收到通知后简短回应：“谢谢！我们正在积极调查并寻找解决方案 。”

目前尚不清楚配置错误的AWS S3存储桶是源码库由ESHYFT直接管理还是通过第三方承包商管理，也无法确定数据在被发现前暴露了多久，或是否有未经授权的方在暴露期间访问了数据。

数据泄露的影响与建议

ESHYFT运营着一个移动平台，旨在将医疗机构与持证护士助理（CNAs） 、持证实践护士（LPNs）以及注册护士（RNs）等合格护理专业人员连接起来。

该平台允许护士根据日程选择班次，同时为医疗机构提供经过筛选的W-2护理人员 。该平台在美国29个州提供服务
，包括加利福尼亚、佛罗里达
 、香港云服务器乔治亚和新泽西，是解决医护人员短缺问题的重要技术手段。

此次数据泄露事件发生在医护人员短缺问题日益严重的背景下
，卫生资源与服务管理局预计 ，到2027年
，美国注册护士的缺口将达到10% 。

随着医疗机构越来越依赖技术平台来解决人员短缺问题，线下医疗服务与在线技术的整合带来了亟需解决的新安全漏洞。

预防类似的AWS S3存储桶配置错误 ，模板下载健康科技公司应实施严格的访问控制，遵循最小权限原则，启用默认加密存储所有数据，并利用AWS的安全功能如Amazon Macie来检测敏感数据 。

安全专家建议对敏感数据实施强制加密协议，并定期进行安全审计以识别云基础设施中的潜在漏洞。根据数据敏感性分级存储尤为重要，在本案例中，用户头像照片和医疗文件被存储在同一文件夹中 ，尽管它们的敏感性分类截然不同。

一些措施如启用多因素认证（MFA）和清理访问权限、数据和活动日志，拒绝数据跟踪和公开共享，可以大幅降低数据泄露的风险。组织也应制定明确的数据泄露响应计划，并设立专门的沟通渠道报告安全事件。