Nowe badania wykazały, że w Internecie można było publicznie udostępnić bardzo wrażliwe dane dotyczące zdrowia ludzi, w tym nagrania audio i wideo z sesji terapeutycznych. Zbiór informacji powiązany z amerykańską firmą z branży opieki zdrowotnej zawierał ponad 120 000 plików i ponad 1,7 miliona dzienników aktywności.
Pod koniec sierpnia badacz bezpieczeństwa Jeremiah Fowler odkrył ujawnione źródło informacji w niezabezpieczonej bazie danych połączonej z wirtualnym dostawcą usług medycznych Confidant Health. Firma, która działa na terenie pięciu stanów, w tym Connecticut, Florydy i Teksasu, pomaga w leczeniu uzależnień od alkoholu i narkotyków, a także zapewnia leczenie w zakresie zdrowia psychicznego i inne usługi.
W 5,3 terabajtach ujawnionych danych znajdowały się niezwykle osobiste dane pacjentów, wykraczające poza osobiste sesje terapeutyczne. Akta przeglądane przez Fowlera obejmowały wielostronicowe raporty z zapisami pacjentów z psychiatrii oraz szczegóły historii chorób. „Na dole niektórych dokumentów widniał napis „poufne dane dotyczące zdrowia” – mówi Fowler.
Na przykład siedmiostronicowe akta przyjęcia do psychiatry, które najwyraźniej opierały się na godzinnej sesji z pacjentem, szczegółowo opisują problemy związane z alkoholem i innymi substancjami, w tym to, jak pacjent twierdził, że wziął „niewielkie ilości” narkotyków z hospicjum swoich dziadków dostaw przed śmiercią członka rodziny. W innym dokumencie matka opisuje „kontrowersyjną” relację między mężem a synem, w tym tę, że syn zażywający używki oskarżył jej partnera o molestowanie seksualne.
Ujawnione dokumenty zdrowotne zawierają notatki medyczne dotyczące wyglądu, nastroju, pamięci, przyjmowanych leków i ogólnego stanu psychicznego. Jeden z arkuszy kalkulacyjnych, który zobaczył badacz, zawiera listę członków Confidant Health, liczbę odbytych przez nich spotkań, rodzaje spotkań i inne informacje.
„To rozdzierająca serce, naprawdę bolesna trauma rodzinna, trauma osobista” – mówi Fowler, dodając, że niektóre pliki to nagrania audio i wideo z sesji pacjentów. „To prawie tak, jakbyś ujawnił swoje najgłębsze, najciemniejsze sekrety, o których powiedziałeś w swoim pamiętniku, i są to rzeczy, których nigdy nie chcesz wyjawić”.
Oprócz dokumentacji medycznej w ujawnionej bazie danych znajdowały się dokumenty administracyjne i weryfikacyjne, w tym kopie praw jazdy, dowodów osobistych i kart ubezpieczeniowych, mówi Fowler. W dziennikach znajdowały się także wskazania, że niektóre dane są zbierane przez chatboty lub sztuczną inteligencję, co zawierało odniesienia do komunikatów i odpowiedzi AI na pytania.
Mówi, że firma Confidant Health szybko odcięła dostęp do ujawnionej bazy danych po tym, jak Fowler skontaktował się z firmą. Badacz, który ostrzega firmy o ujawnionych danych i nie pobiera żadnych z nich, twierdzi, że część ze 120 000 ujawnionych plików była zabezpieczona hasłem. Fowler twierdzi, że przejrzał około 1000 plików, aby zweryfikować narażenie i określić źródło danych, aby móc powiadomić firmę. Mówi, że to niezwykłe, że ujawniona baza danych zawierałaby zarówno zablokowane, jak i odblokowane pliki.
W oświadczeniu dla WIRED współzałożyciel Confidant Health Jon Read twierdzi, że firma poważnie podchodzi do kwestii bezpieczeństwa i „traktuje[s] kwestionuje sensacyjny charakter” ustaleń. Read twierdzi, że gdy firma została powiadomiona o „niewłaściwej konfiguracji”, dostęp do ujawnionych plików został „naprawiony w niecałą godzinę”.
