Practice by Numbers 開發的牙醫診所患者管理軟件出現安全漏洞,導致患者私隱健康記錄在隨軟件捆綁的門戶網站上外洩。TechCrunch 從一名患者 Joseph R. Cox 處獲悉此事,他在使用自家牙醫診所提供的門戶查看牙科記錄時發現問題。這款門戶屬於 Practice by Numbers 的牙醫診所管理軟件,該公司聲稱其產品已在美國超過 5,000 家牙醫診所使用。
Cox 表示,漏洞允許任何擁有門戶登入的用戶存取其他患者的醫療文件及健康記錄。他從自家帳戶輕易存取他人文件,包括個人資料、醫療歷史、相片證件及其他檔案,同樣,他的記錄也暴露於其他用戶眼前。Cox 嘗試透過電郵通知公司,但未獲回覆,於是向 TechCrunch 求助以促使公司修補漏洞。
漏洞利用簡單,公司回應遲緩
漏洞極易被利用,只需在門戶載入文件時修改網址中的文件編號,即可存取他人檔案。更嚴重的是,文件編號看似循序遞增,用戶可輕易猜測他人醫療文件編號。Cox 難以聯絡 Practice by Numbers,因為公司網站電郵失效,且無明顯安全報告途徑。他透過 LinkedIn 聯絡公司創辦人之一,後續電郵亦無回音。 此事件反映近期趨勢:普通用戶發現公司產品或網站安全漏洞,卻無明確報告渠道。
今年 4 月,時裝零售商 Express 修補網站漏洞,該漏洞讓任何人存取其他客戶訂單細節及個人資料;12 月,家居零售商 Home Depot 忽略安全研究員一年報告,直至 TechCrunch 介入。 鑑於漏洞威脅患者資料,TechCrunch 於 4 月 13 日通知 Practice by Numbers。公司即時下架門戶修補,並於 4 月 17 日恢復上線。
聯合創辦人兼技術總監 Chris Lau 表示,已修補漏洞,並依據伺服器日誌通知少於 10 名受影響患者。公司正與相關牙醫診所合作通知患者,並稱未發現先前相關活動,Cox 很可能為首位發現者。Cox 確認漏洞已修補。 TechCrunch 查詢時,Lau 及聯合創辦人兼總裁 Rohit Garg 均未透露門戶上線前是否進行安全審計。公司處理敏感醫療資料,通常需第三方審查代碼以排除重大漏洞。
Garg 表示,公司計劃更新網站,加入安全漏洞報告機制,如漏洞披露計劃,但未提供時間表。
