关注我们
带你读懂网络安全
英国人力资源软件厂商Logezy的员工管理数据库配置错误,导致该国800万条医护人员的敏感信息被泄露,涉及身份证明、财务数据等。
前情回顾·数据泄露狂潮
安全内参4月17日消息,vpnMentor网络安全研究员、Security Discovery联合创始人Jeremiah Fowler近日曝光了一起大规模数据泄露事件,涉及一家专注于员工数据管理的英国软件公司Logezy。
根据Fowler的调查结果,此次泄露的数据接近800万条,总量高达1.1TB,共计7975438个文件,存储在一个没有密码保护、又未加密的数据库中。
泄露的数据库中包含大量敏感信息,如工作许可文件、国家保险号码、证书、电子签名、工时记录、用户照片以及由政府签发的身份证明文件等。
Fowler在报告中指出:“该数据库还包含656个目录项,显示出这些数据来自多家不同公司,其中多数为医疗服务提供商、招聘机构或临时用工服务公司。”
泄露数据截图
Fowler在发现该问题后立即通知了Logezy,随后该数据库的访问权限被限制。不过,仍有多个关键问题尚未明确,例如数据库处于公开状态的时间有多久、是否已被未授权人员访问,以及该数据库是否由Logezy自行管理,或是由第三方承包商负责。一次全面的取证审计或有助于回答这些疑问。
Logezy总部位于英格兰德比郡,专注于开发用于简化固定员工与临时员工管理流程的软件,功能涵盖员工排班、薪资发放、账单处理及员工数据管理等。值得注意的是,尽管Logezy声称其服务覆盖多个行业,但此次数据泄露事件主要涉及医疗行业及其医护人员。
数据泄露影响广泛,企业应加强防护
此次数据泄露事件带来了重大安全风险,尤其是在网络攻击日益频繁的医疗领域中。泄露的信息可能被用于身份盗窃等恶意用途,犯罪分子或许会冒充医护人员以牟取不当利益。
此外,泄露的登录凭证与电子签名也可能被用于非法入侵医疗系统,进一步危及患者的敏感数据。Fowler表示:“众所周知,医疗数据对网络犯罪分子具有极高的价值,而从事医疗行业人员的个人身份信息(PII)同样十分珍贵。”
不仅如此,这些个人信息还可能被用于社交工程攻击。网络犯罪分子可利用所掌握的信息,操纵目标人员泄露机密数据或授予系统访问权限。这也提高了勒索软件攻击的风险,这类攻击可能严重扰乱医疗机构的运营。
Fowler并未暗示Logezy存在任何不当行为。他建议,那些怀疑自身信息可能已遭泄露的用户应密切关注自己的账户活动和信用报告,以防发生异常行为。
他还强调,集中式数据存储的风险正不断上升,尤其是对于那些处理来自多个机构数据的公司。Fowler总结道,将数据分散存储于多个安全环境中,并结合高级访问控制机制和加密技术,或许是更有效预防此类突发性数据泄露的策略。
参考资料:hackread.com
原文始发于微信公众号(安全内参):近800万条医护职工敏感信息泄露:因软件厂商关键数据库公网暴露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论