पहचान
RSI सुरक्षा सुरक्षा साइबर सुरक्षा टीम ने जापानी चिकित्सा प्रश्नोत्तर सेवा को प्रभावित करने वाले डेटा एक्सपोजर का खुलासा किया डॉक्टर्स मे.
डॉक्टर्स मी एक वेबसाइट है जो ग्राहकों को पेशेवर चिकित्सा सलाह के लिए मांग पर पहुंच प्रदान करती है।
लगभग 3 लोगों के संवेदनशील डेटा को उजागर करते हुए, कंपनी के स्वामित्व वाली एक अमेज़ॅन एस 12,000 बाल्टी को उचित पहुंच प्राधिकरण और प्रमाणीकरण नियंत्रण के बिना खुला छोड़ दिया गया था।
डॉक्टर्स मी एक ऐसे उद्योग का हिस्सा है, जिसमें कोविड-19 महामारी के दौरान तेजी से विकास हुआ है। जैसे-जैसे ऑनलाइन परामर्श सेवाएं अधिक सामान्य हो जाती हैं, बकेट की सामग्री दर्शाती है कि रोगियों को उन छवियों के बारे में सावधान रहने की आवश्यकता है जो वे चिकित्सा प्लेटफार्मों के माध्यम से साझा करते हैं।
विशेष रूप से, डॉक्टर्स मी की बकेट की सामग्री में बच्चों की छवियां शामिल हैं, जो इस डेटा उल्लंघन से जुड़े और जोखिम प्रस्तुत करती हैं।
डॉक्टर मी कौन है?
डॉक्टर्स मी टोक्यो, जापान में स्थित एक निजी कंपनी है। कंपनी एक वेबसाइट, डॉक्टर-मी डॉट कॉम संचालित करती है, जो उपयोगकर्ताओं को एक चिकित्सा पेशेवर से परामर्श प्राप्त करने के लिए गुमनाम रूप से अपनी बीमारियों, बीमारियों या विभिन्न अन्य कष्टों की तस्वीरें अपलोड करने की अनुमति देती है।
डॉक्टर्स मी स्वास्थ्य और भलाई के प्रत्येक क्षेत्र में चिकित्सा विशेषज्ञ प्रदान करता है: डॉक्टर, फार्मासिस्ट, पोषण विशेषज्ञ, दंत चिकित्सक और परामर्शदाता। साइट में अन्य प्रकार की सामग्री है जो आगंतुकों को उनकी चिकित्सा स्थिति का स्व-मूल्यांकन करने में मदद करती है, जिसमें बीमारियों और लक्षणों की सूची, एक प्रश्नोत्तर अनुभाग, एक ब्लॉग और सामान्य चिकित्सा स्थितियों के लिए एक स्वास्थ्य जांच सूची शामिल है।
डॉक्टर्स मी एक किफायती सेवा है, जो 324 जेपीवाई/माह (~3 यूएसडी) और 540 जेपीवाई/माह (~5 यूएसडी) के बीच भुगतान योजनाएं पेश करती है। साइट लगभग 70,000 मासिक वेब विज़िटर (क्रंचबेस के अनुसार) के साथ भी लोकप्रिय है।
कंपनी के विभिन्न संदर्भ, खुली बाल्टी की सामग्री के साथ, इस बात का प्रमाण देते हैं कि यह डॉक्टर्स मी से संबंधित है।
क्या उजागर हुआ?
कुल मिलाकर, डॉक्टर्स मी के गलत कॉन्फ़िगर किए गए Amazon S3 बकेट ने 300,000+ फाइलें उजागर की हैं, जो लगभग 30 जीबी डेटा के बराबर है।
यह डेटा उन ग्राहकों का है, जो डॉक्टर्स-me.com द्वारा दी जाने वाली ऑन-डिमांड परामर्श सेवाओं का उपयोग करते थे।
विशेष रूप से, असुरक्षित बकेट में निहित है लक्षणों की तस्वीरें जिसे यूजर्स ने अपलोड किया था। दसियों हजारों की इन फ़ाइलों में से एक बकेट पर पाई जा सकती थी—12,000 से अधिक छवियां अद्वितीय थीं।
लक्षणों की तस्वीरें के उजागर रूप संवेदनशील ग्राहक डेटा:
- चिकित्सा स्थितियों की छवियां (उपयोगकर्ताओं या उनके आश्रितों की); चकत्ते, घाव, दंत समस्याओं, मलमूत्र, और बहुत कुछ सहित;
- चेहरों की छवियां; लक्षण छवियों में शामिल, जिनमें से कई बच्चे थे;
- जानवरों की छवियां; लक्षण छवियों में शामिल, हालांकि, ये फ़ाइलें दुर्लभ थीं।
बकेट में संग्रहीत सभी फाइलें गुमनाम रूप से अपलोड की गई थीं, हालांकि, कुछ मामलों में, व्यक्तियों को उनके चेहरे की तस्वीरों के माध्यम से पहचाना जा सकता है।
डॉक्टर्स मी की Amazon S3 बकेट लाइव थी और खोज के समय अपडेट की जा रही थी। बाल्टी को ठीक से सुरक्षित करना डॉक्टर्स मी की जिम्मेदारी थी, और इस प्रकार, इस डेटा एक्सपोजर के लिए अमेज़ॅन की कोई गलती नहीं है
इन तस्वीरों के सबूत आप नीचे देख सकते हैं। चेतावनी: छवियों में ग्राफिक सामग्री होती है।
एक शिशु के चेहरे पर दाने की एक छवि
एक उपयोगकर्ता द्वारा अपलोड की गई पैर की स्थिति
उपयोगकर्ता के मुंह की तस्वीर (जीभ रोग)
कुछ जानवर बाल्टी पर भी होते हैं
डॉक्टर्स मी एक जापानी कंपनी है और इसलिए, हम मानते हैं कि ओपन बकेट का अधिकांश डेटा जापानी नागरिकों का है।
बकेट में संग्रहीत अद्वितीय फ़ाइलों की संख्या के आधार पर, हमारा अनुमान है कि इस डेटा एक्सपोज़र से लगभग 12,000 उपयोगकर्ता प्रभावित हैं।
डॉक्टर्स मी के डेटा एक्सपोज़र का पूरा विश्लेषण निम्न तालिका में उपलब्ध है।
| उजागर फाइलों की संख्या | 300,000 + |
| प्रभावित उपयोगकर्ताओं की संख्या | 12,000 चारों ओर |
| उजागर डेटा की मात्रा | लगभग 30 जीबी |
| कंपनी का स्थान | जापान |
हमने 3 नवंबर, 11 को खुले Amazon S2021 बकेट की खोज की। हमने उसी दिन डॉक्टर्स मी को एक संदेश भेजा।
21 नवंबर, 2021 को, हमने डॉक्टर्स मी को एक फॉलो-अप संदेश भेजा और हम जापानी कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी) तक भी पहुंचे। 25 नवंबर, 2021 को, हमने जापानी सीईआरटी को फिर से मैसेज किया और डॉक्टर्स मी की बाल्टी के बारे में एडब्ल्यूएस को एक संदेश भेजा। जापानी सीईआरटी ने हमें बताया कि वे बाल्टी के मालिक के पास पहुंचेंगे। हमने 15 दिसंबर, 2021 और 10 जनवरी, 2022 को जापानी सीईआरटी को अनुवर्ती संदेश भेजे। उन्होंने 11 जनवरी, 2022 को जवाब दिया, हमें सूचित किया कि उन्होंने एडब्ल्यूएस से संपर्क किया है।
डॉक्टर्स मी, उसके ग्राहक, और बकेट की सामग्री में शामिल किसी भी अन्य व्यक्ति को इस डेटा उल्लंघन के परिणामस्वरूप विभिन्न प्रभावों का सामना करना पड़ सकता है।
डेटा ब्रीच इम्पैक्ट
हम यह नहीं जान सकते हैं और नहीं जानते हैं कि क्या दुर्भावनापूर्ण अभिनेताओं ने अमेज़ॅन बकेट की सामग्री को खुला होने के दौरान एक्सेस किया था।
हालांकि, अगर दुर्भावनापूर्ण व्यक्तियों ने इसकी छवियों को देखा या डाउनलोड किया है, तो डॉक्टर्स मी की बाल्टी से जुड़े कई जोखिम हो सकते हैं। एक्सपोज़्ड डॉक्टर्स मी उपयोगकर्ता और कोई भी उजागर बच्चे अपराध के रूपों का अनुभव कर सकते हैं।
इस बीच, डॉक्टर्स मी को गलत तरीके से कॉन्फ़िगर की गई बाल्टी के कारण कानूनी प्रतिबंधों का सामना करना पड़ सकता है।
ग्राहकों पर प्रभाव
ग्राहकों को गोपनीयता भंग, ब्लैकमेल और स्पष्ट छवियों के संभावित वितरण का सामना करना पड़ सकता है।
निजता का उल्लंघन
अपराधी संभावित रूप से डॉक्टर्स मी ग्राहकों और किसी भी अन्य आश्रितों की पहचान कर सकते हैं जिनके चेहरे या विशिष्ट पहचान योग्य विशेषताएं (यानी अद्वितीय टैटू) बाल्टी पर चित्रित हैं। हैकर्स उपयोगकर्ताओं की पहचान भी कर सकते हैं यदि उनकी एक मेडिकल तस्वीर कई अन्य प्लेटफार्मों (यानी सोशल मीडिया साइट्स या मेडिकल फ़ोरम) पर अपलोड की गई थी।
इसलिए खुला AWS S3 बकेट उपयोगकर्ताओं की गोपनीयता भंग करता है। संवेदनशील चिकित्सा जानकारी को उजागर करने से उपयोगकर्ताओं के दैनिक जीवन पर गंभीर प्रभाव पड़ सकता है।
एक उजागर व्यक्ति अपनी चिकित्सा स्थिति के बारे में शर्मिंदा और चिंतित महसूस कर सकता है, और दूसरों को पता चलने पर उपहास और प्रतिष्ठा क्षति का सामना करना पड़ सकता है। कुछ मामलों में, संवेदनशील चिकित्सा डेटा को उजागर करना अंततः किसी के व्यक्तिगत संबंधों, डेटिंग जीवन और नौकरी के अवसरों को प्रभावित कर सकता है।
अगर किसी बुरे अभिनेता को डॉक्टर्स मी की खुली बाल्टी मिली तो एक्सपोज्ड यूजर्स को ब्लैकमेल भी किया जा सकता है।
भयादोहन
एक चिकित्सा स्थिति संबंधित व्यक्ति के लिए एक अत्यंत निजी और कई बार शर्मनाक मामला है। बकेट में ग्राफिक बीमारियों की गहरी व्यक्तिगत तस्वीरें होती हैं - ऐसी जानकारी जो डॉक्टर्स मी ग्राहक अपने पास रखना चाहते हैं, और ठीक है। यही कारण है कि डॉक्टर्स मी अपनी वेबसाइट को "गुमनाम सेवा" के रूप में वर्णित करता है।
चिकित्सा पेशेवर जो परामर्श प्रदान करते हैं, उन्हें चित्रों में शामिल व्यक्तियों की पहचान करने में कोई दिलचस्पी नहीं हो सकती है। हालांकि, एक अपराधी बाल्टी पर उपयोगकर्ताओं को कमजोर लक्ष्य के रूप में देख सकता है।
खराब अभिनेता उपयोगकर्ताओं की पहचान कर सकते हैं और प्रत्येक उपयोगकर्ता की चिकित्सा स्थिति की गोपनीयता का फायदा उठाकर उनसे पैसे वसूल कर सकते हैं।
हालांकि हमने नमूनों में इसका कोई सबूत नहीं देखा, डॉक्टर्स मी की बाल्टी में संभवतः नग्नता और उपयोगकर्ताओं के शरीर के निजी क्षेत्रों की छवियां हो सकती हैं। फिर से, अपराधी इस सामग्री की गोपनीयता का फायदा उठाकर उपयोगकर्ताओं से पैसे वसूल कर सकते हैं।
विशेष रूप से, अपराधी ब्लैकमेल के माध्यम से पहचाने जाने योग्य उपयोगकर्ताओं को लक्षित कर सकते हैं—जब तक कि अपराधी को मौद्रिक शुल्क का भुगतान नहीं किया जाता है, तब तक वे निजी छवियों को वितरित करने की धमकी देते हैं।
उजागर नाबालिगों की तस्वीरों का वितरण
बाल्टी में बच्चों और उनके लक्षणों की तस्वीरें भी हैं। कभी-कभी, ये चित्र चिकित्सीय स्थिति को प्रदर्शित करने के लिए बच्चे के शरीर के निजी क्षेत्रों को दिखाते हैं।
दुर्भाग्य से, उजागर नाबालिगों की उपस्थिति से पता चलता है कि शिकारी बाल्टी की सामग्री में रुचि ले सकते हैं। इन छवियों को डाउनलोड करने या वितरित करने के लिए शिकारी बाल्टी की सामग्री तक पहुंच प्राप्त कर सकते हैं।
शिशु और बच्चे अक्सर इतने छोटे होते हैं कि उनका पूरा शरीर और चेहरा एक तस्वीर में फिट हो जाता है। उदाहरण के लिए, शिशु के पेट पर दाने की तस्वीर बच्चे के चेहरे को भी दिखा सकती है। इसका मतलब यह है कि, परेशान करने वाली बात यह है कि चित्रित कई बच्चे बाल्टी पर पहचाने जा सकते हैं। एक शिकारी इस जानकारी का उपयोग बच्चों का पीछा करने या ऑनलाइन स्थान के बाहर और नुकसान पहुंचाने के लिए कर सकता है।
डॉक्टरों पर प्रभाव Me
जापान का डेटा संरक्षण कानून है व्यक्तिगत जानकारी के संरक्षण पर अधिनियम (APPI)। APPI में निर्धारित कानूनी ढांचा किसके द्वारा शासित होता है? व्यक्तिगत सूचना संरक्षण आयोग (पीआईपीसी)।
एपीपीआई मांग करता है कि संगठन जापानी नागरिकों की व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) और संवेदनशील डेटा को ठीक से और सुरक्षित रूप से संसाधित, संग्रहीत और वितरित करें। इस कानून के किसी भी उल्लंघन के परिणामस्वरूप "सूचना हैंडलर" के लिए प्रतिबंध और/या दंड हो सकता है।
PIPC किसी भी दोषी कर्मचारी को अधिकतम एक वर्ष तक के कारावास या 1 मिलियन JPY (लगभग 9,000 USD) के जुर्माने से दंडित कर सकता है। पीआईपीसी डॉक्टर्स मी को अधिकतम 100 मिलियन जेपीवाई (लगभग 900,000 यूएसडी) के जुर्माने के साथ जारी कर सकती है, अगर उसे पता चलता है कि कंपनी ने एपीपीआई में उल्लिखित नियामक दिशानिर्देशों का उल्लंघन किया है।
किसी भी नियामक प्रतिबंध या दंड के अलावा, डेटा विषय (यानी जापानी नागरिक जिनकी जानकारी उजागर हुई है) को डेटा हानि या जोखिम से होने वाले किसी भी नुकसान के लिए मुआवजे की मांग करने का अधिकार है।
डेटा एक्सपोजर को रोकना
उपयोगकर्ता अपने डेटा को सुरक्षित रखने के लिए क्या कदम उठा सकते हैं? और डेटा उल्लंघन के संभावित हानिकारक परिणामों को कम करने के लिए कोई क्या कर सकता है?
इससे पहले कि हम कुछ कार्रवाई योग्य युक्तियों को सूचीबद्ध करें, हमें पहले यह उल्लेख करना चाहिए कि चिकित्सा परामर्श प्लेटफार्मों के उपयोगकर्ताओं को विशिष्ट सावधानी बरतने की आवश्यकता है - इन प्लेटफार्मों को संवेदनशील सामग्री की आवश्यकता होती है और वे तेजी से सामान्य होते जा रहे हैं।
मरीजों को पहचान योग्य जानकारी, जैसे नाम टैग या व्यक्तिगत आईडी को चित्रित करने से बचना चाहिए, और जहां संभव हो मरीजों को अपने (या अपने बच्चे के) चेहरे को चित्रित करने से बचना चाहिए। मरीजों को अंतरंग छवियों को शामिल नहीं करना चाहिए यदि वे परामर्श के लिए आवश्यक नहीं हैं।
डेटा एक्सपोजर को रोकने के लिए यहां कुछ सामान्य युक्तियां दी गई हैं:
- अपनी व्यक्तिगत जानकारी केवल उन व्यक्तियों, संगठनों या संस्थाओं को प्रदान करें जिन पर आप 100% भरोसा करते हैं।
- केवल सुरक्षित डोमेन वाली वेबसाइटों पर जाएं (अर्थात उनके डोमेन नाम की शुरुआत में "https" और/या बंद लॉक प्रतीक वाली वेबसाइटें)।
- अपनी सबसे महत्वपूर्ण व्यक्तिगत जानकारी प्रदान करते समय सावधान रहें, जैसे कि आपका सामाजिक सुरक्षा नंबर।
- किसी वेबसाइट द्वारा अनुरोधित डेटा की न्यूनतम मात्रा प्रदान करें, उदाहरण के लिए यदि आपकी आयु सत्यापित करने के लिए स्कैन आईडी की आवश्यकता है, तो अपनी छवि सबमिट करने से पहले पता डेटा, आईडी नंबर और समाप्ति तिथियों को धुंधला कर दें।
- सुपर-सुरक्षित पासवर्ड बनाएं जो अक्षरों, संख्याओं और प्रतीकों के संयोजन का उपयोग करें। अपने मौजूदा पासवर्ड को नियमित रूप से अपडेट करें।
- किसी ईमेल (या इंटरनेट पर कहीं और) में किसी लिंक पर तब तक क्लिक न करें जब तक कि आप सुनिश्चित न हों कि स्रोत वैध है।
- सोशल मीडिया साइटों पर अपनी गोपनीयता सेटिंग्स संपादित करें। सुनिश्चित करें कि आपकी सामग्री केवल मित्रों और विश्वसनीय उपयोगकर्ताओं के लिए दृश्यमान है।
- असुरक्षित वाईफाई नेटवर्क से कनेक्ट होने पर व्यक्तिगत जानकारी के महत्वपूर्ण रूपों (जैसे क्रेडिट कार्ड नंबर या पासवर्ड) को प्रदर्शित या टाइप न करें।
- साइबर अपराध, डेटा सुरक्षा और फ़िशिंग हमलों और मैलवेयर के जोखिम को कम करने के लिए आप जो भी अतिरिक्त कदम उठा सकते हैं, उसके बारे में खुद को शिक्षित करें।
हमारे बारे में
सुरक्षा जासूस.कॉम दुनिया की सबसे बड़ी एंटीवायरस समीक्षा वेबसाइट है।
SafetyDetectives रिसर्च लैब एक निशुल्क सेवा है, जिसका उद्देश्य संगठनों को अपने उपयोगकर्ताओं के डेटा की सुरक्षा के बारे में शिक्षित करने के दौरान साइबर खतरों के खिलाफ ऑनलाइन समुदाय की रक्षा में मदद करना है। हमारी वेब मैपिंग परियोजना का व्यापक उद्देश्य सभी उपयोगकर्ताओं के लिए इंटरनेट को सुरक्षित स्थान बनाने में मदद करना है।
हमारी पिछली रिपोर्टों ने कई हाई-प्रोफाइल कमजोरियों और डेटा लीक को प्रकाश में लाया है, जिसमें 2.6 मिलियन उपयोगकर्ता शामिल हैं। अमेरिकन सोशल एनालिटिक्स प्लेटफॉर्म IGBlade, साथ ही एक रिसाव को प्रभावित कर रहा है ब्राजीलियाई सॉफ्टवेयर कंपनी WSpot जिसने सैकड़ों हजारों क्लाइंट फाइलों को उजागर किया।
पिछले 3 वर्षों में सेफ्टीडेक्टिव्स साइबरसुरिटी रिपोर्टिंग की पूरी समीक्षा के लिए, का पालन करें सेफ्टीडेक्टिव साइबरस्पेस टीम.
