根据Fowler的调查结果,此次泄露的数据接近800万条,总量高达1.1TB,共计7975438个文件,存储在一个没有密码保护、又未加密的数据库中。
泄露的数据库中包含大量敏感信息,如工作许可文件、国家保险号码、证书、电子签名、工时记录、用户照片以及由政府签发的身份证明文件等。
Fowler在报告中指出:“该数据库还包含656个目录项,显示出这些数据来自多家不同公司,其中多数为医疗服务提供商、招聘机构或临时用工服务公司。”
泄露数据截图
Fowler在发现该问题后立即通知了Logezy,随后该数据库的访问权限被限制。不过,仍有多个关键问题尚未明确,例如数据库处于公开状态的时间有多久、是否已被未授权人员访问,以及该数据库是否由Logezy自行管理,或是由第三方承包商负责。一次全面的取证审计或有助于回答这些疑问。
Logezy总部位于英格兰德比郡,专注于开发用于简化固定员工与临时员工管理流程的软件,功能涵盖员工排班、薪资发放、账单处理及员工数据管理等。值得注意的是,尽管Logezy声称其服务覆盖多个行业,但此次数据泄露事件主要涉及医疗行业及其医护人员。
原文始发于微信公众号(安全内参):近800万名医护职工敏感信息泄露:因软件厂商关键数据库公网暴露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论