'नर्सों के Uber' में खुले S3 bucket के जरिए 86,000 से अधिक मेडिकल रिकॉर्ड और व्यक्तिगत पहचान योग्य जानकारी उजागर

 (websiteplanet.com)
1 पॉइंट द्वारा GN⁺ 2025-03-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें

हज़ारों रिकॉर्ड, जिनमें PII शामिल है, ऑनलाइन उजागर हुए

  • न्यू जर्सी स्थित healthtech कंपनी ESHYFT का डेटाबेस बिना पासवर्ड सुरक्षा के खुला मिला। यह कंपनी अपने मोबाइल ऐप प्लेटफ़ॉर्म के जरिए स्वास्थ्य सुविधाओं और नर्सों को जोड़ती है।
  • उजागर डेटाबेस में 86,341 रिकॉर्ड थे और इसका कुल आकार 108.8GB था। डेटाबेस में यूज़र प्रोफ़ाइल फ़ोटो, शिफ्ट शेड्यूल लॉग, प्रोफेशनल सर्टिफिकेट, कार्य अनुबंध और रिज़्यूमे शामिल थे।
  • कुछ दस्तावेज़ों में डायग्नोसिस, प्रिस्क्रिप्शन और उपचार संबंधी जानकारी वाले मेडिकल दस्तावेज़ भी शामिल थे, जो HIPAA नियमों का संभावित उल्लंघन हो सकता है।
  • डेटाबेस ESHYFT का ही प्रतीत होता है। खोज के बाद कंपनी को सूचित किया गया और एक महीने बाद इसकी पहुंच सीमित कर दी गई।

ESHYFT की भूमिका और महत्व

  • ESHYFT स्वास्थ्य सुविधाओं और नर्सों को जोड़ने वाला एक मोबाइल प्लेटफ़ॉर्म प्रदान करता है और 29 राज्यों में संचालित होता है।
  • यह ऐप नर्सों को अपने शेड्यूल के मुताबिक शिफ्ट चुनने देता है, जबकि स्वास्थ्य सुविधाओं को सत्यापित नर्सिंग स्टाफ उपलब्ध कराता है।
  • इसे Google Play Store पर 50,000 से अधिक बार डाउनलोड किया गया है।

व्यक्तिगत डेटा उजागर होने के जोखिम

  • व्यक्तिगत पहचान योग्य जानकारी (PII), वेतन संबंधी जानकारी और कार्य इतिहास का उजागर होना व्यक्तियों और नियोक्ता संस्थानों दोनों के लिए गंभीर जोखिम और कमजोरियां पैदा कर सकता है।
  • पहचान पत्र, पते जैसी जानकारी एक साथ मिलने पर cybercriminals पहचान चोरी या वित्तीय धोखाधड़ी कर सकते हैं।
  • उजागर जानकारी का दुरुपयोग phishing campaigns में किया जा सकता है, जिनके जरिए पीड़ितों से अतिरिक्त व्यक्तिगत या वित्तीय जानकारी हासिल की जा सकती है।

सुरक्षा मज़बूत करने के लिए सिफारिशें

  • healthtech कंपनियों और मेडिकल software providers को डेटा सुरक्षा और अनधिकृत पहुंच रोकने के लिए सक्रिय cybersecurity उपाय अपनाने चाहिए।
  • संवेदनशील डेटा के लिए encryption protocols अनिवार्य होने चाहिए और आंतरिक infrastructure का नियमित security audit किया जाना चाहिए।
  • संवेदनशील डेटा को जहां संभव हो अनाम बनाया जाना चाहिए, और उपयोग में न आने वाले डेटा के लिए expiry date तय कर उसका संग्रह सीमित किया जाना चाहिए।
  • multi-factor authentication (MFA) अनिवार्य होना चाहिए ताकि यूज़र credentials उजागर होने पर भी आसानी से पहुंच न मिल सके।
  • डेटा लीक पर प्रतिक्रिया की योजना और security incidents की रिपोर्टिंग के लिए समर्पित communication channels होने चाहिए।

निष्कर्ष

  • डेटा लीक की स्थिति में, प्रभावित हो सकने वाले सभी लोगों को तेज़ और जिम्मेदार सूचना दी जानी चाहिए।
  • यूज़र्स को phishing attempts पहचानने के तरीकों के बारे में प्रशिक्षित किया जाना चाहिए, जिससे सेवा प्रदाताओं और यूज़र्स दोनों को लाभ होगा।
  • यह रिपोर्ट शैक्षिक उद्देश्य से तैयार की गई है और वास्तविक डेटा अखंडता को हुई क्षति को प्रतिबिंबित नहीं करती।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-03-14
Hacker News की राय
  • मैंने हाल ही में एक कंपनी के बारे में सुना, जो काम देने से पहले credit report के ज़रिए किसी व्यक्ति के कर्ज़ का स्तर पता लगाती है, और उसके आधार पर प्रति घंटे की दर कम कर देती है
    • अगर ऐसे उल्लंघनों के कोई नकारात्मक परिणाम हैं, तो उन्हें उसकी पूरी कीमत चुकानी चाहिए
  • उनकी privacy policy के data security सेक्शन में यह लिखा है
    • हम एकत्र और सुरक्षित रखी गई जानकारी की अखंडता और सुरक्षा बेहतर करने के लिए कुछ भौतिक, प्रशासनिक और तकनीकी सुरक्षा उपायों का उपयोग करते हैं
    • कोई भी सुरक्षा उपाय पूरी तरह परफेक्ट या अभेद्य नहीं होता
    • इसे HIPAA में परिभाषित protected health information मानी जा सकने वाली जानकारी को स्टोर या सुरक्षित रखने के लिए डिज़ाइन नहीं किया गया है
    • क्या वे यह कहकर ज़िम्मेदारी से बच सकते हैं कि उनका सिस्टम HIPAA compliance के लिए डिज़ाइन नहीं किया गया था, इस पर संदेह है
  • medical professionals की अधिकारपूर्ण छवि की वजह से लोग भ्रमित हो जाते हैं
    • डॉक्टर या अस्पताल को कभी भी social security number नहीं देना चाहिए
    • जब वे ID verification चाहते हैं, तो उसका मतलब यह नहीं कि वे उसे scan करें या उसकी photo लें
    • डॉक्टर और अस्पताल information security के मामले में बेहद कमज़ोर होते हैं
  • healthcare industry कुल मिलाकर समस्याग्रस्त है
    • सस्ते और corporate-owned अस्पताल nurses को full-time कर्मचारी के रूप में नियुक्त नहीं करते
    • कम लागत ने अस्पतालों को इस app की ओर धकेला, और संभव है कि इसे मंज़ूरी देने वाले administrators को rebate भी दिया गया हो
    • ESHYFT को दिवालिया हो जाना चाहिए, लेकिन शायद कुछ भी नहीं होगा
  • सोच रहा हूँ कि यह S3 bucket कितनी पुरानी थी
    • AWS ने नए S3 bucket को default रूप से private करना शुरू कर दिया था
    • संभव है कि यह पुरानी रही हो, या mobile app/service में file upload/download काम नहीं कर रहा था, इसलिए इसे लापरवाही से खोल दिया गया हो
  • सोच रहा हूँ कि क्या AWS को दोष देना चाहिए
    • दोस्तों के लिए रात 3 बजे हैकिंग करते समय अपनाई जाने वाली security practices, PII host करने वाले product पर लागू नहीं होतीं
    • बुनियादी data security लागू करना user की ज़िम्मेदारी है
  • समझ नहीं आता कि "Uber for nurses" जैसा शब्दप्रयोग क्यों इस्तेमाल किया गया और title में असली कंपनी का नाम क्यों नहीं लिखा गया
  • समझ नहीं आता कि क्या हम अब भी यह दिखावा कर रहे हैं कि काम करने वाले regulatory agencies इस मामले में कार्रवाई कर सकते हैं
  • मैंने health tech क्षेत्र में काम किया है, और यह बहुत गंभीर मामला है
    • हर patient record पर जुर्माना लग सकता है, और वह सस्ता नहीं होता
    • यह "wall of shame" तक पहुँच जाता है, और भविष्य में जिन लोगों के साथ आप deal करेंगे वे इसे देख सकते हैं
    • गलती होने पर आपकी व्यक्तिगत ज़िम्मेदारी भी तय हो सकती है
    • मेरी पिछली नौकरी में हमने सुनिश्चित किया था कि PII API के ज़रिए ट्रांसफर न हो, और उसे सिस्टम से पूरी तरह अलग VPS में रखा था
    • जब record की ज़रूरत होती थी, तो हम उसे S3 bucket में डालते थे और caller को केवल एक अस्थायी लिंक देते थे, जिस तक वही पहुँच सकता था
    • यह बहुत झंझट भरा था, लेकिन इससे चैन की नींद आती थी
  • मैंने एक research paper पढ़ा था जिसमें कहा गया था कि जिन पेशों में passion की ज़रूरत होती है, वे सबसे कम वेतन/सबसे ज़्यादा overwork वाले होते हैं
    • उदाहरण: शिक्षक, nurses, musicians, athletes