摘要

• 网络安全研究员 Jeremiah Fowler 发现了一个未受保护的 Care1 数据库，其中有超过 480 万份患者记录。
• 暴露的数据包括姓名、地址、病史和个人健康号码 (PHN)。
• 漏洞的责任及其持续时间仍不清楚。
• 医疗保健数据泄露事件日益增多，带来了巨大的隐私风险。
• 加强网络安全措施对保护敏感的患者信息至关重要。

网络安全研究员杰里迈亚-福勒（Jeremiah Fowler）最近发现了一个属于 Care1 的庞大数据库，Care1 是一家为验光师提供人工智能软件解决方案的加拿大公司。该数据库包含 480 多万条患者信息记录（总容量达 2.2 TB），却完全没有受到保护，从而暴露了患者姓名、地址、病史等敏感数据，甚至还暴露了他们独一无二的个人健康号码 (PHN)。

Care1 是一家专业的医疗保健技术公司，拥有 170 多家合作验光师，使用他们的软件管理着 15 万多名患者。他们利用先进的软件工程和广泛的合作网络，专门从事人工智能的眼科护理中断业务。

根据 vpnMentor 发布的 Fowler 的调查报告，暴露的数据包括详细的眼科检查报告，其中包含患者信息、医生笔记和图像。眼科检查报告为 PDF 格式，包括患者 PII、医生注释和图像。

此外，CSV 和 XLS 电子表格也是暴露数据库的一部分，其中列出了患者的家庭住址、个人健康号码 (PHN) 和其他健康相关信息，包括医生的意见和眼科检查图像。

请注意，在加拿大医疗系统中，个人健康号码（PHN）是一种唯一标识符，可确保所有医疗服务提供者都能获取患者的健康信息。虽然 PHN 本身可能不会直接导致财务欺诈，但它可以成为犯罪分子建立个人综合档案的宝贵信息。

目前还不清楚该数据库是由 Care1 直接拥有和管理，还是由第三方承包商处理。除非进行内部取证审计，否则也不清楚数据库暴露了多长时间，或是否被任何未经授权的个人访问过。根据 Fowler 的博客文章，他向公司发出了责任披露通知，并迅速限制了公众访问。

随着医疗保健行业越来越依赖数字系统，数据泄露的可能性也在增加。这种程度的暴露给患者带来了巨大的隐私风险，因为他们的医疗信息可能被滥用于身份盗窃或其他恶意活动。2023 年，福勒发现了一个属于印度医疗诊断公司 Redcliffe Labs 的无密码保护数据库，其中包含 1200 多万条记录，包括医疗扫描和测试结果等敏感的患者数据。

这些事件反映出医疗保健行业需要加强安全措施。像 Care1 这样处理敏感患者信息的公司必须优先采取严格的网络安全措施，包括强大的加密、访问控制和定期安全审计。