Giới thiệu
Sản phẩm An toàn nhóm an ninh mạng đã phát hiện ra một vụ lộ dữ liệu ảnh hưởng đến dịch vụ hỏi đáp y tế của Nhật Bản Bác sĩ tôi.
Doctors Me là một trang web cung cấp cho khách hàng quyền truy cập theo yêu cầu để được tư vấn y tế chuyên nghiệp.
Một thùng Amazon S3 do công ty sở hữu đã bị bỏ ngỏ mà không có các biện pháp kiểm soát xác thực và ủy quyền truy cập thích hợp, làm lộ dữ liệu nhạy cảm cho khoảng 12,000 người.
Doctors Me là một phần của ngành được chứng kiến sự phát triển nhanh chóng trong đại dịch Covid-19. Khi các dịch vụ tư vấn trực tuyến trở nên phổ biến hơn, nội dung của nhóm chứng tỏ rằng bệnh nhân cần phải cẩn thận về những hình ảnh mà họ chia sẻ thông qua các nền tảng y tế.
Đặc biệt, hình ảnh trẻ em nằm trong nội dung của nhóm Doctors Me, điều này gây ra nhiều rủi ro hơn liên quan đến việc vi phạm dữ liệu này.
Bác sĩ tôi là ai?
Doctors Me là một công ty tư nhân có trụ sở tại Tokyo, Nhật Bản. Công ty vận hành một trang web, Doctors-me.com, cho phép người dùng tải lên ẩn danh hình ảnh về tình trạng ốm đau, bệnh tật hoặc nhiều nỗi đau khác của họ để nhận được lời khuyên từ chuyên gia y tế.
Doctors Me cung cấp các chuyên gia y tế trong từng lĩnh vực sức khỏe và phúc lợi: Bác sĩ, dược sĩ, chuyên gia dinh dưỡng, nha sĩ và tư vấn viên. Trang web chứa các dạng nội dung khác giúp khách truy cập tự đánh giá tình trạng sức khỏe của mình, bao gồm danh sách các bệnh và triệu chứng, phần Hỏi và Đáp, blog và danh sách kiểm tra sức khỏe cho các tình trạng y tế thông thường.
Doctors me là một dịch vụ giá cả phải chăng, cung cấp các gói thanh toán từ 324 JPY / tháng (~ 3 USD) đến 540 JPY / tháng (~ 5 USD). Trang web này cũng nổi tiếng với khoảng 70,000 người truy cập web hàng tháng (theo Crunchbase).
Nhiều tài liệu tham khảo khác nhau về công ty, cùng với nội dung của nhóm mở, cung cấp bằng chứng cho thấy công ty đó thuộc về Doctors Me.
Những gì đã được phơi bày?
Tổng cộng, bộ chứa Amazon S3 bị định cấu hình sai của Doctors Me đã hiển thị hơn 300,000 tệp, tương đương với khoảng 30 GB dữ liệu.
Dữ liệu này thuộc về những khách hàng đã sử dụng dịch vụ tư vấn theo yêu cầu do doctor-me.com cung cấp.
Cụ thể, nhóm không an toàn chứa hình ảnh của các triệu chứng đã được tải lên bởi người dùng. Mười nghìn đồng trong số các tệp này có thể được tìm thấy trên nhóm — hơn 12,000 hình ảnh là duy nhất.
Hình ảnh các triệu chứng các hình thức tiếp xúc của dữ liệu khách hàng nhạy cảm:
- hình ảnh về tình trạng y tế (của người dùng hoặc người phụ thuộc của họ); bao gồm phát ban, lở loét, các vấn đề về răng miệng, phân, và hơn thế nữa;
- hình ảnh của các khuôn mặt; được đưa vào các hình ảnh triệu chứng, nhiều người trong số đó là trẻ em;
- hình ảnh các loài động vật; Tuy nhiên, được đưa vào các hình ảnh triệu chứng, những tệp này rất hiếm.
Tất cả các tệp được lưu trữ trong thùng đều được tải lên ẩn danh, mặc dù, trong một số trường hợp, các cá nhân có thể được xác định thông qua hình ảnh khuôn mặt của họ.
Nhóm Amazon S3 của Doctors Me đã hoạt động và đang được cập nhật tại thời điểm phát hiện. Bảo mật đúng cách thùng là trách nhiệm của Doctors Me và do đó, Amazon không có lỗi trong việc để lộ dữ liệu này
Bạn có thể xem bằng chứng về những hình ảnh này dưới đây. Cảnh báo: Hình ảnh chứa nội dung đồ họa.
Hình ảnh phát ban trên mặt trẻ sơ sinh
Tình trạng chân do một người dùng tải lên
Hình ảnh miệng của người dùng (bệnh lưỡi)
Một số động vật cũng có tính năng trên xô
Doctors Me là một công ty của Nhật Bản và do đó, chúng tôi giả định phần lớn dữ liệu của nhóm mở thuộc về công dân Nhật Bản.
Dựa trên số lượng tệp duy nhất được lưu trữ trên nhóm, chúng tôi ước tính có khoảng 12,000 người dùng bị ảnh hưởng bởi việc hiển thị dữ liệu này.
Bảng sau có phân tích đầy đủ về mức độ phơi nhiễm dữ liệu của Doctors Me.
| Số lượng tệp được hiển thị | 300,000 + |
| Số lượng người dùng bị ảnh hưởng | khoảng 12,000 |
| Lượng dữ liệu được hiển thị | Khoảng 30 GB |
| Vị trí công ty | Nhật Bản |
Chúng tôi đã phát hiện ra nhóm Amazon S3 đang mở vào ngày 11 tháng 2021 năm XNUMX. Chúng tôi đã gửi tin nhắn cho Doctors Me vào cùng ngày.
Vào ngày 21 tháng 2021 năm 25, chúng tôi đã gửi một thông báo tiếp theo cho Doctors Me và chúng tôi cũng đã liên hệ với Nhóm Ứng cứu Khẩn cấp Máy tính Nhật Bản (CERT). Vào ngày 2021 tháng 15 năm 2021, chúng tôi lại nhắn tin cho CERT Nhật Bản và gửi một tin nhắn tới AWS về nhóm của Doctors Me. CERT Nhật Bản nói với chúng tôi rằng họ sẽ liên hệ với chủ sở hữu của cái thùng. Chúng tôi đã gửi các thông báo tiếp theo tới CERT Nhật Bản vào ngày 10 tháng 2022 năm 11 và ngày 2022 tháng XNUMX năm XNUMX. Họ đã trả lời vào ngày XNUMX tháng XNUMX năm XNUMX, thông báo cho chúng tôi rằng họ đã liên hệ với AWS.
Doctors Me, khách hàng của mình và bất kỳ người nào khác có trong nội dung của nhóm có thể phải đối mặt với nhiều tác động khác nhau do vi phạm dữ liệu này.
Tác động vi phạm dữ liệu
Chúng tôi không thể và không biết liệu những kẻ độc hại có truy cập vào nội dung của bộ chứa Amazon khi nó đang mở hay không.
Tuy nhiên, có thể có một số rủi ro liên quan đến bộ chứa của Doctors Me nếu những kẻ độc hại đã xem hoặc tải xuống hình ảnh của nó. Người dùng Exposed Doctors Me và bất kỳ trẻ em nào bị phơi nhiễm đều có thể gặp phải các hình thức tội phạm.
Trong khi đó, Doctors Me có thể phải đối mặt với các lệnh trừng phạt pháp lý vì thùng bị định cấu hình sai.
Ảnh hưởng đến khách hàng
Khách hàng có thể phải đối mặt với việc vi phạm quyền riêng tư, bị tống tiền và khả năng phát tán hình ảnh khiêu dâm.
Vi phạm Quyền riêng tư
Tội phạm có khả năng xác định khách hàng của Doctors Me và bất kỳ người phụ thuộc nào khác có khuôn mặt hoặc các đặc điểm nhận dạng duy nhất của họ (tức là hình xăm độc đáo) trên cái thùng. Tin tặc cũng có thể xác định người dùng nếu một trong những hình ảnh y tế của họ được tải lên nhiều nền tảng khác (tức là các trang web truyền thông xã hội hoặc diễn đàn y tế).
Do đó, nhóm AWS S3 đang mở sẽ vi phạm quyền riêng tư của người dùng. Việc để lộ thông tin y tế nhạy cảm có thể gây ảnh hưởng nghiêm trọng đến cuộc sống hàng ngày của người dùng.
Một người bị phơi nhiễm có thể cảm thấy xấu hổ và lo lắng về tình trạng sức khỏe của họ, đồng thời có thể đối mặt với sự chế giễu và tổn hại danh tiếng nếu người khác phát hiện ra. Trong một số trường hợp, việc tiết lộ dữ liệu y tế nhạy cảm cuối cùng có thể ảnh hưởng đến các mối quan hệ cá nhân, cuộc sống hẹn hò và cơ hội việc làm của ai đó.
Người dùng bị phơi nhiễm cũng có thể bị tống tiền nếu bất kỳ kẻ xấu nào tìm thấy thùng mở của Doctors Me.
Sự dọa
Tình trạng sức khỏe là một vấn đề cực kỳ riêng tư và đôi khi khiến cá nhân có liên quan xấu hổ. Nhóm chứa những hình ảnh cá nhân sâu sắc về các bệnh đồ họa — thông tin mà khách hàng của Doctors Me có thể muốn giữ cho riêng mình và đúng như vậy. Đây là lý do Doctors Me mô tả trang web của mình là một “dịch vụ ẩn danh”.
Các chuyên gia y tế đưa ra lời khuyên có thể không quan tâm đến việc xác định những cá nhân có trong ảnh. Tuy nhiên, tội phạm có thể coi người dùng trong nhóm là mục tiêu dễ bị tấn công.
Những kẻ xấu có thể xác định người dùng và khai thác quyền riêng tư về tình trạng sức khỏe của mỗi người dùng để tống tiền họ.
Mặc dù chúng tôi không thấy bằng chứng về điều này trong các mẫu thử, nhưng thùng của Doctors Me có thể chứa hình ảnh khỏa thân và vùng kín trên cơ thể người dùng. Một lần nữa, bọn tội phạm có thể khai thác quyền riêng tư của nội dung này để tống tiền người dùng.
Cụ thể, bọn tội phạm có thể nhắm mục tiêu vào những người dùng có thể nhận dạng được bằng cách tống tiền — đe dọa phân phối hình ảnh riêng tư trừ khi tội phạm trả một khoản phí bằng tiền.
Phân phối các bức ảnh về trẻ vị thành niên bị phơi nhiễm
Cái xô cũng chứa hình ảnh của trẻ em và các triệu chứng của chúng. Đôi khi, những hình ảnh này hiển thị các khu vực riêng tư trên cơ thể của trẻ để hiển thị tình trạng bệnh.
Thật không may, sự hiện diện của trẻ vị thành niên tiếp xúc cho thấy những kẻ săn mồi có thể quan tâm đến nội dung của nhóm. Những kẻ săn mồi có thể có quyền truy cập vào nội dung của nhóm để tải xuống hoặc phân phối những hình ảnh này.
Trẻ sơ sinh và trẻ em thường rất nhỏ nên toàn bộ cơ thể và khuôn mặt của chúng nằm gọn trong một bức tranh. Ví dụ, hình ảnh phát ban trên bụng của trẻ sơ sinh cũng có thể có khuôn mặt của đứa trẻ. Điều này có nghĩa là, đáng lo ngại, nhiều đứa trẻ được vẽ trong hình có thể nhận dạng được trên thùng. Kẻ thù có thể sử dụng thông tin này để theo dõi trẻ em hoặc gây thêm thiệt hại bên ngoài không gian trực tuyến.
Ảnh hưởng đến Doctors Me
Luật bảo vệ dữ liệu của Nhật Bản là Hành động về Bảo vệ Thông tin Cá nhân (APPI). Khung pháp lý được đặt ra trong APPI được điều chỉnh bởi Ủy ban Bảo vệ Thông tin Cá nhân (PIPC).
APPI yêu cầu các tổ chức xử lý, lưu trữ và phân phối thông tin nhận dạng cá nhân (PII) và dữ liệu nhạy cảm của công dân Nhật Bản một cách chính xác và an toàn. Bất kỳ hành vi vi phạm luật này đều có thể dẫn đến các biện pháp trừng phạt và / hoặc trừng phạt đối với “người xử lý thông tin”.
PIPC có thể phạt bất kỳ nhân viên phạm tội nào với hình phạt tối đa lên đến một năm tù giam hoặc phạt tiền 1 triệu JPY (khoảng 9,000 USD). PIPC có thể phạt Doctors Me với mức phạt tối đa là 100 triệu JPY (khoảng 900,000 USD) nếu phát hiện công ty đã vi phạm các hướng dẫn quy định được nêu trong APPI.
Ngoài bất kỳ biện pháp trừng phạt hoặc trừng phạt nào theo quy định, chủ thể dữ liệu (tức là công dân Nhật Bản bị lộ thông tin của họ) có quyền yêu cầu bồi thường cho bất kỳ thiệt hại nào phát sinh từ việc mất hoặc lộ dữ liệu.
Ngăn lộ dữ liệu
Người dùng có thể thực hiện những bước nào để giữ an toàn cho dữ liệu của họ? Và người ta có thể làm gì để giảm thiểu hậu quả có thể gây tổn hại do vi phạm dữ liệu?
Trước khi chúng tôi liệt kê một số mẹo có thể hành động, trước tiên chúng tôi nên đề cập rằng người dùng các nền tảng tư vấn y tế cần phải thực hiện các biện pháp phòng ngừa cụ thể - các nền tảng này yêu cầu nội dung nhạy cảm và chúng ngày càng trở nên phổ biến.
Bệnh nhân nên tránh hình dung thông tin nhận dạng, chẳng hạn như thẻ tên hoặc ID cá nhân, và bệnh nhân nên tránh hình dung khuôn mặt của họ (hoặc của con họ) nếu có thể. Bệnh nhân không nên đưa những hình ảnh thân mật vào nếu chúng không cần thiết cho buổi tư vấn.
Dưới đây là một số mẹo chung để ngăn dữ liệu bị lộ:
- Chỉ cung cấp thông tin cá nhân của bạn cho các cá nhân, tổ chức hoặc đơn vị mà bạn tin tưởng 100%.
- Chỉ truy cập các trang web có miền bảo mật (tức là các trang web có ký hiệu “https” và / hoặc khóa đóng ở đầu tên miền của chúng).
- Hãy thận trọng khi cung cấp các dạng thông tin cá nhân quan trọng nhất của bạn, chẳng hạn như số an sinh xã hội của bạn.
- Cung cấp lượng dữ liệu tối thiểu mà trang web yêu cầu, ví dụ: Nếu cần có ID được quét để xác minh tuổi của bạn, hãy xóa dữ liệu địa chỉ, số ID và ngày hết hạn trước khi bạn gửi hình ảnh của mình.
- Tạo mật khẩu siêu an toàn sử dụng kết hợp các chữ cái, số và ký hiệu. Cập nhật mật khẩu hiện có của bạn thường xuyên.
- Đừng nhấp vào liên kết trong email (hoặc bất kỳ nơi nào khác trên internet) trừ khi bạn chắc chắn rằng nguồn là hợp pháp.
- Chỉnh sửa cài đặt quyền riêng tư của bạn trên các trang web truyền thông xã hội. Đảm bảo rằng nội dung của bạn chỉ hiển thị với bạn bè và những người dùng đáng tin cậy.
- Không hiển thị hoặc nhập các dạng thông tin cá nhân quan trọng (chẳng hạn như số thẻ tín dụng hoặc mật khẩu) khi được kết nối với mạng WiFi không an toàn.
- Tự đào tạo về tội phạm mạng, bảo vệ dữ liệu và bất kỳ bước bổ sung nào bạn có thể thực hiện để giảm thiểu nguy cơ bị tấn công lừa đảo và phần mềm độc hại.
Về chúng tôi
SafetyDetectives.com là trang web đánh giá chống vi-rút lớn nhất thế giới.
Phòng nghiên cứu SafetyDetectives là một dịch vụ chuyên nghiệp nhằm mục đích giúp cộng đồng trực tuyến tự bảo vệ mình trước các mối đe dọa mạng đồng thời giáo dục các tổ chức về cách bảo vệ dữ liệu người dùng của họ. Mục đích tổng quát của dự án lập bản đồ web của chúng tôi là giúp làm cho Internet trở thành một nơi an toàn hơn cho tất cả người dùng.
Các báo cáo trước đây của chúng tôi đã đưa ra ánh sáng nhiều lỗ hổng bảo mật cao và rò rỉ dữ liệu, bao gồm 2.6 triệu người dùng bị lộ bởi một Nền tảng phân tích xã hội của Mỹ IGBlade, cũng như rò rỉ ảnh hưởng đến Công ty phần mềm Brazil WSpot đã làm lộ hàng trăm nghìn tệp khách hàng.
Để có đánh giá đầy đủ về báo cáo an ninh mạng của SafetyDetectives trong 3 năm qua, hãy làm theo Nhóm an ninh mạng SafetyDetectives.
