据TechCrunch获悉,牙科患者管理软件开发商Practice by Numbers已修复一处安全漏洞。该漏洞曾导致患者私人健康档案在软件配套患者门户网站上遭到暴露。

事情的起因是一名叫约瑟夫·R·考克斯的患者在浏览自己的牙科记录时发现了这一问题,并随即向TechCrunch进行了举报。该患者门户是Practice by Numbers开发的牙科诊所管理软件的组成部分,据该公司称,其产品目前已被全美超过5000家牙科诊所使用。

考克斯表示,该漏洞允许任何拥有门户账号的用户访问其他患者的文件,内容涵盖个人信息、病史、证件照片及其他资料。同样,他自己的记录也以相同方式暴露在其他患者面前。

考克斯曾尝试通过电子邮件向该公司反映问题,但未获回复。无奈之下,他联系了TechCrunch,希望借助媒体的力量督促公司修复漏洞。

这一漏洞的利用方式极为简单:只需在门户网站加载文件时修改网址中的文档编号,便可访问其他患者的文件。更令人担忧的是,这些文档编号似乎按顺序递增排列,这意味着攻击者可以轻易猜出其他人的医疗档案编号。

考克斯还透露,向Practice by Numbers报告漏洞的过程相当艰难。该公司官网上既没有安全问题的专属反馈渠道,邮箱地址也因无法送达而形同虚设。他随后尝试在领英上联系公司创始人,但发送后续邮件后同样杳无音讯。

此次事件折射出近期一种令人忧虑的趋势:普通用户发现了企业产品或网站中的安全漏洞,却苦于找不到向开发者举报的有效途径。

类似事件并非孤例。今年4月初,时尚零售商Express修复了一处网站漏洞,该漏洞曾允许任何人访问其他顾客的订单详情和个人信息,发现该漏洞的用户同样无处反馈。去年12月,家得宝也发生了类似情况:一名安全研究人员曾试图私下提醒公司注意一处长达近一年的内部系统访问漏洞,但其报告屡遭忽视,直到TechCrunch介入联系后,公司才予以重视。

鉴于该漏洞正在持续威胁患者数据安全,TechCrunch于4月13日主动联系了Practice by Numbers。该公司随即下线患者门户以修复漏洞,并于4月17日恢复上线。

Practice by Numbers联合创始人兼首席技术官克里斯·刘告诉TechCrunch,公司已修复该漏洞,并根据服务器日志认定受影响的患者不足10人,目前正协同相关牙科诊所向受影响患者发出通知。他表示,公司未发现此前存在与该漏洞相关的可疑访问行为,推测考克斯极有可能是第一个发现者。

考克斯也确认,该漏洞已被修复。

然而,当TechCrunch询问患者门户上线前是否曾进行过安全审计时,刘和公司联合创始人兼总裁罗希特·加格均未正面作答。安全审计是企业确保产品符合网络安全标准、在用户使用前排除常见安全漏洞的通行做法。尽管没有软件能做到完全无懈可击,但处理医疗数据等敏感信息的企业,通常会寻求第三方对代码进行审查,以剔除重大安全隐患。

当被问及是否计划在官网建立漏洞披露渠道时,加格表示公司计划更新网站,以便用户报告安全问题,但未给出具体时间表。

Q&A

Q1:Practice by Numbers的患者门户漏洞是如何被发现的?

A:一名叫约瑟夫·R·考克斯的患者在浏览自己的牙科记录时偶然发现了这一漏洞。他注意到,只需修改网址中的文档编号,即可访问其他患者的文件,包括个人信息、病史和证件照等敏感内容。他尝试通过邮件和领英联系公司,均未获回应,最终向TechCrunch举报,促使公司修复了漏洞。

Q2:Practice by Numbers的患者门户漏洞修复花了多长时间?

A:TechCrunch于4月13日联系Practice by Numbers告知漏洞情况,公司随即下线患者门户进行修复,并于4月17日恢复上线,整个修复过程历时约4天。

Q3:Practice by Numbers的漏洞事件中,有多少患者的数据受到了影响?

A:根据该公司联合创始人兼首席技术官克里斯·刘的说法,结合公司服务器日志分析,受该漏洞影响的患者不足10人。公司表示未发现此前存在与漏洞相关的异常访问记录,推测发现漏洞的考克斯可能是第一个利用该漏洞的人。

TechCrunch - data breach