美AI公司被曝泄露近260万医疗数据 含诊断记录等个人信息

近日，安全研究人员耶利米·福勒（Jeremiah Fowler）在Secure Thoughts上发表文章称，他发现近260万条包含姓名、医疗诊断记录、保险记录和支付记录在内的个人病历数据被泄露了。福勒指出，不少被泄露的数据都指向一家名叫Cense的美国AI公司。

福勒写道，他在7月7日发现了两个含有医疗数据记录的文件夹，里面总计有2594261条数据，而且任何人都可以通过互联网查看这些数据。这些数据储存在与Cense网站相同的IP地址上，并被标记为缓存数据，因此他猜测，这是Cense在将数据加载到公司的管理系统或AI Bot中之前暂时将其储存在网上。

根据Cense的官网显示，该公司是可帮助企业实现智能流程自动化的SaaS平台，致力于为医疗卫生、人力资源流程、生成潜在客户等多个领域提供AI解决方案。

在抽样查看后，福勒发现这些数据大多记录的是在车祸中遭遇脊椎或颈部受伤的人，并可以看到由汽车保险服务商提供的保险单号、理赔号、事故日期等信息。而且，他看到的数据都来自于美国纽约州。

为了验证数据的真实性，福勒使用搜索引擎查询了其中几个非常晦涩或独特的名字。结果显示，在整个美国只有一或两个名字、地理位置和年龄范围都与此匹配的人。

在进行数据验证后，福勒向Cense发送了一份负责任的披露通知，不久之后，他发现访问这两个包含医疗数据的文件夹受到了限制。但是，他也指出，如果有人在此之前发现了这个漏洞，那么可能已经造成了损失。

福勒还提到，医疗数据是黑市上最有价值的信息。根据信息安全公司Trustwave的报告，在黑市上，每条医疗记录的售价最高可达250美元，与之对比，排名第二高的信用卡支付记录售价为每条5.40美元。因此，福勒提醒道，公司和组织必须用更好的措施来保护他们所收集和储存的数据，特别是当数据包含医疗信息和患者的个人信息时，切勿以纯文本的形式存储。

随着新冠疫情的蔓延，远程办公成为越来越多公司的选择。此前，IBM发布报告称，76%的受访者认为，在线办公会增加发现和控制数据泄露所需的时间。而且，在所有行业中，医疗卫生行业为数据泄露付出了最高的代价，平均成本高达713万美元。

在接受Tech Central采访时，IBM X-Force IRIS的高级威胁分析师Charles Debeck说，就数据泄露的平均成本而言，医疗卫生行业已经连续十年排名第一。Debeck还指出，医疗卫生行业中的数据泄露往往持续更长的时间，约为329天，而所有行业的平均时间为280天，因此导致了更大的损失。