소개
XNUMXD덴탈의 안전 탐정 사이버 보안 팀, 일본 의료 Q&A 서비스에 영향을 미치는 데이터 노출 발견 닥터 미.
Doctors Me는 전문 의료 조언에 대한 주문형 액세스를 고객에게 제공하는 웹사이트입니다.
회사가 소유한 Amazon S3 버킷은 적절한 액세스 권한 부여 및 인증 제어 없이 열려 있어 약 12,000명에게 민감한 데이터가 노출되었습니다.
Doctors Me는 Covid-19 전염병 동안 급속한 성장을 보인 산업의 일부입니다. 온라인 상담 서비스가 보편화되면서 버킷의 내용은 환자가 의료 플랫폼을 통해 공유하는 이미지에 주의해야 함을 보여줍니다.
특히 Doctors Me의 버킷 콘텐츠에는 어린이 이미지가 포함되어 있어 이 데이터 유출과 관련된 추가 위험이 있습니다.
닥터미는 누구인가?
Doctors Me는 일본 도쿄에 본사를 둔 개인 회사입니다. 회사는 사용자가 자신의 질병, 질병 또는 기타 다양한 고통의 사진을 익명으로 업로드하여 의료 전문가의 상담을 받을 수 있는 웹사이트 Doctors-me.com을 운영하고 있습니다.
Doctors Me는 의사, 약사, 영양사, 치과의사, 상담사 등 건강과 웰빙의 각 영역에서 의료 전문가를 제공합니다. 이 사이트에는 질병 및 증상 목록, Q&A 섹션, 블로그 및 일반적인 건강 상태에 대한 건강 체크리스트를 포함하여 방문자가 자신의 건강 상태를 자가 평가하는 데 도움이 되는 다른 형식의 콘텐츠가 포함되어 있습니다.
Doctors me는 324 JPY/월(~3 USD)에서 540 JPY/월(~5 USD) 사이의 요금제를 제공하는 저렴한 서비스입니다. 이 사이트는 또한 월간 웹 방문자가 약 70,000명(Crunchbase 기준)인 인기가 있습니다.
공개된 버킷의 내용과 함께 회사에 대한 다양한 언급은 그것이 Doctors Me에 속한다는 증거를 제공합니다.
무엇이 노출되었습니까?
전체적으로 Doctors Me의 잘못 구성된 Amazon S3 버킷은 약 300,000GB의 데이터에 해당하는 30개 이상의 파일을 노출했습니다.
이 데이터는 Doctors-me.com에서 제공하는 주문형 상담 서비스를 사용한 고객의 데이터입니다.
특히, 보안되지 않은 버킷에 포함된 증상 사진 사용자가 업로드한 것입니다. 수만의 이 중 12,000개 이상의 고유한 이미지가 버킷에서 발견되었습니다.
증상 사진 노출된 형태의 민감한 고객 데이터:
- (이용자 또는 그 피부양자의) 의학적 상태의 이미지; 발진, 염증, 치아 문제, 배설물 등을 포함합니다.
- 얼굴 이미지; 증상 이미지에 포함되었으며 대부분은 어린이였습니다.
- 동물의 이미지; 증상 이미지에 포함되어 있지만 이러한 파일은 드물었습니다.
버킷에 저장된 모든 파일은 익명으로 업로드되었지만 경우에 따라 얼굴 사진을 통해 개인을 식별할 수 있습니다.
Doctors Me의 Amazon S3 버킷은 발견 당시 라이브 상태였으며 업데이트 중이었습니다. 버킷을 올바르게 보호하는 것은 Doctors Me의 책임이므로 Amazon은 이러한 데이터 노출에 대해 어떠한 책임도 없습니다.
아래에서 이러한 이미지의 증거를 볼 수 있습니다. 경고: 이미지에는 그래픽 콘텐츠가 포함되어 있습니다.
유아의 얼굴에 생긴 발진 이미지
한 사용자가 업로드한 발 상태
사용자의 구강 사진(혀 질환)
일부 동물은 양동이에도 등장합니다.
Doctors Me는 일본 회사이므로 열린 버킷 데이터의 대부분이 일본 시민의 것이라고 가정합니다.
버킷에 저장된 고유한 파일 수를 기반으로 이 데이터 노출의 영향을 받는 사용자는 약 12,000명으로 추정됩니다.
Doctors Me의 데이터 노출에 대한 전체 분석은 다음 표에서 확인할 수 있습니다.
| 노출된 파일 수 | 300,000+ |
| 영향을 받는 사용자 수 | 12,000 약 |
| 노출된 데이터의 양 | 약 30GB |
| 회사 위치 | 일본 |
3년 11월 2021일에 열린 Amazon SXNUMX 버킷을 발견했습니다. 같은 날 Doctors Me에 메시지를 보냈습니다.
21년 2021월 25일에 Doctors Me에 후속 메시지를 보냈고 일본 CERT(Computer Emergency Response Team)에도 연락했습니다. 2021년 15월 2021일에 일본 CERT에 다시 메시지를 보내고 Doctors Me의 버킷에 관해 AWS에 메시지를 보냈습니다. 일본 CERT는 버킷 소유자에게 연락할 것이라고 말했습니다. 우리는 10년 2022월 11일과 2022년 XNUMX월 XNUMX일에 일본 CERT에 후속 메시지를 보냈습니다. 그들은 XNUMX년 XNUMX월 XNUMX일에 AWS에 연락했다고 회신했습니다.
Doctors Me, 그 고객 및 버킷 콘텐츠에 포함된 다른 사람들은 이 데이터 유출의 결과로 다양한 영향에 직면할 수 있습니다.
데이터 침해 영향
Amazon 버킷이 열려 있는 동안 악의적인 행위자가 Amazon 버킷의 콘텐츠에 액세스했는지 여부를 알 수 없으며 알 수 없습니다.
그러나 악의적인 개인이 이미지를 보거나 다운로드한 경우 Doctors Me의 버킷과 관련된 몇 가지 위험이 있을 수 있습니다. 노출된 Doctors Me 사용자와 노출된 어린이는 범죄 형태를 경험할 수 있습니다.
한편 Doctors Me는 잘못 구성된 버킷으로 인해 법적 제재를 받을 수 있습니다.
고객에게 미치는 영향
고객은 사생활 침해, 협박 및 노골적인 이미지의 잠재적 배포에 직면할 수 있습니다.
개인정보 침해
범죄자는 자신의 얼굴이나 고유한 식별 가능한 특성(예: 고유한 문신)이 양동이에 그려져 있는 Doctors Me 고객 및 기타 부양 가족을 잠재적으로 식별할 수 있습니다. 해커는 의료 사진 중 하나가 여러 다른 플랫폼(예: 소셜 미디어 사이트 또는 의료 포럼)에 업로드된 경우 사용자를 식별할 수도 있습니다.
따라서 열린 AWS S3 버킷은 사용자의 개인 정보를 침해합니다. 민감한 의료 정보가 노출되면 사용자의 일상 생활에 심각한 영향을 미칠 수 있습니다.
노출된 사람은 자신의 건강 상태에 대해 창피하고 불안해할 수 있으며 다른 사람들이 알면 조롱과 평판에 손상을 입을 수 있습니다. 어떤 경우에는 민감한 의료 데이터를 노출하는 것이 궁극적으로 누군가의 개인 관계, 데이트 생활 및 취업 기회에 영향을 미칠 수 있습니다.
악의적 인 행위자가 Doctors Me의 열린 버킷을 발견하면 노출 된 사용자도 협박 할 수 있습니다.
약탈
의학적 상태는 매우 사적인 문제이며 종종 해당 개인에게 당혹스러운 문제입니다. 양동이에는 그래픽 질환에 대한 매우 개인적인 사진이 포함되어 있습니다. Doctors Me 고객이 비밀로 하고 싶어하는 정보인 것은 당연합니다. 이것이 Doctors Me가 웹 사이트를 "익명 서비스"라고 설명하는 이유입니다.
상담을 제공하는 의료 전문가는 사진에 포함된 개인을 식별하는 데 관심이 없을 수 있습니다. 그러나 범죄자는 버킷의 사용자를 취약한 대상으로 볼 수 있습니다.
악의적인 행위자는 사용자를 식별하고 각 사용자의 건강 상태에 대한 개인 정보를 악용하여 금전을 갈취할 수 있습니다.
샘플에서 이에 대한 증거는 없었지만 Doctors Me의 양동이에는 사용자 신체의 나체 이미지와 사적인 영역이 있을 수 있습니다. 다시 말하지만, 범죄자는 이 콘텐츠의 개인 정보를 악용하여 사용자에게 돈을 갈취할 수 있습니다.
특히 범죄자는 협박을 통해 식별 가능한 사용자를 표적으로 삼아 금전적 비용을 지불하지 않으면 사적인 이미지를 배포하겠다고 위협할 수 있습니다.
미성년자 노출 사진 유포
양동이에는 어린이의 사진과 증상도 포함되어 있습니다. 때때로 이러한 이미지는 건강 상태를 표시하기 위해 아동의 사적인 신체 부위를 보여줍니다.
불행히도 노출된 미성년자의 존재는 포식자가 버킷의 내용에 관심을 가질 수 있음을 시사합니다. 포식자는 버킷의 콘텐츠에 액세스하여 이러한 이미지를 다운로드하거나 배포할 수 있습니다.
유아와 어린이는 종종 너무 작아서 전신과 얼굴이 한 장의 사진에 들어갑니다. 예를 들어, 유아의 배에 발진이 있는 사진에는 어린이의 얼굴도 포함될 수 있습니다. 이것은 혼란스럽게도 많은 아이들이 양동이에서 식별할 수 있음을 의미합니다. 포식자는 이 정보를 사용하여 어린이를 스토킹하거나 온라인 공간 외부에서 추가 피해를 줄 수 있습니다.
나에게 미치는 영향
일본의 데이터 보호법은 개인정보 보호에 관한 법률(APPI). APPI에 명시된 법적 프레임워크는 개인 정보 보호 위원회(PIPC).
APPI는 조직이 일본 시민의 개인 식별 정보(PII) 및 민감한 데이터를 적절하고 안전하게 처리, 저장 및 배포할 것을 요구합니다. 이 법률을 위반할 경우 "정보 취급자"에 대한 제재 및/또는 처벌을 받을 수 있습니다.
PIPC는 유죄 직원에게 최대 1년의 징역 또는 9,000만 엔(약 100달러)의 벌금을 부과할 수 있습니다. PIPC는 회사가 APPI에 설명된 규제 지침을 위반한 경우 Doctors Me에 최대 900,000억 JPY(약 XNUMX USD)의 벌금을 부과할 수 있습니다.
규제적 제재 또는 처벌 외에도 데이터 주체(즉, 정보가 노출된 일본 시민)는 데이터 손실 또는 노출로 인해 발생한 손해에 대해 보상을 요청할 권리가 있습니다.
데이터 노출 방지
데이터를 안전하게 유지하기 위해 사용자가 취할 수 있는 조치는 무엇입니까? 그리고 데이터 침해의 잠재적인 피해를 줄이기 위해 무엇을 할 수 있습니까?
실행 가능한 몇 가지 팁을 나열하기 전에 먼저 의료 상담 플랫폼 사용자가 특정 예방 조치를 취해야 한다는 점을 언급해야 합니다. 이러한 플랫폼에는 민감한 콘텐츠가 필요하며 점점 보편화되고 있습니다.
환자는 이름표나 개인 ID와 같은 식별 가능한 정보의 그림을 피해야 하며 환자는 가능한 경우 자신(또는 자녀)의 얼굴을 그림으로 나타내지 않아야 합니다. 환자는 상담에 필수적이지 않은 친밀한 이미지를 포함해서는 안 됩니다.
다음은 데이터 노출을 방지하기 위한 몇 가지 일반적인 팁입니다.
- 100% 신뢰하는 개인, 조직 또는 단체에만 개인 정보를 제공하십시오.
- 보안 도메인이 있는 웹사이트만 방문하십시오(예: 도메인 이름 시작 부분에 "https" 및/또는 닫힌 자물쇠 기호가 있는 웹사이트).
- 사회 보장 번호와 같은 가장 중요한 형태의 개인 정보를 제공할 때는 주의하십시오.
- 웹사이트에서 요청하는 최소한의 데이터를 제공하십시오. 예를 들어 스캔한 신분증이 나이를 확인하는 데 필요한 경우 이미지를 제출하기 전에 주소 데이터, 신분증 번호 및 만료 날짜를 흐리게 처리합니다.
- 문자, 숫자 및 기호의 조합을 사용하는 매우 안전한 암호를 만드십시오. 기존 비밀번호를 정기적으로 업데이트하십시오.
- 출처가 합법적이라고 확신하지 않는 한 이메일(또는 인터넷의 다른 곳)에 있는 링크를 클릭하지 마십시오.
- 소셜 미디어 사이트에서 개인 정보 설정을 편집하십시오. 콘텐츠가 친구와 신뢰할 수 있는 사용자에게만 표시되는지 확인하세요.
- 보안되지 않은 WiFi 네트워크에 연결된 경우 중요한 형태의 개인 정보(예: 신용 카드 번호 또는 비밀번호)를 표시하거나 입력하지 마십시오.
- 사이버 범죄, 데이터 보호 및 피싱 공격 및 맬웨어의 위험을 완화하기 위해 취할 수 있는 추가 조치에 대해 교육하십시오.
회사 소개
SafetyDetectives.com 세계 최대의 안티 바이러스 리뷰 웹 사이트입니다.
SafetyDetectives 연구소는 온라인 커뮤니티가 사이버 위협으로부터 스스로를 방어하는 동시에 조직에 사용자 데이터를 보호하는 방법을 교육하는 데 도움이되는 프로 보노 서비스입니다. 웹 매핑 프로젝트의 가장 중요한 목적은 인터넷을 모든 사용자에게 더 안전한 장소로 만드는 것입니다.
우리의 이전 보고서는 2.6만 사용자가 미국 소셜 분석 플랫폼 IGBlade, 영향을 미치는 누출뿐만 아니라 브라질 소프트웨어 회사 WSpot 수십만 개의 클라이언트 파일을 노출했습니다.
지난 3 년 동안보고 된 SafetyDetectives 사이버 보안에 대한 전체 검토를 보려면 다음을 따르십시오. SafetyDetectives 사이버 보안 팀.
