超过491万份记载成瘾康复患者的个人身份信息的文件被长期公开放置在网络上，这又是一起由于ElasticSearch存在未授权访问而导致的数据泄露事件，据发现者表示，整个数据泄露周期从2016年中期至2018年末。

Cloudflare的Trust and Safety总监Justin Paine在使用Shodan搜索暴露在互联网上的设备时发现了这个ElasticSearch，其中有大约两个索引的敏感数据，总大小为1.45GB。

Paine在发现了这一情况后，立马寻找其所有者，最后发现是位于宾夕法尼亚州Levittown的成瘾治疗中心。

他很快联系了康复中心和他们的托管服务提供商，虽然康复中心还没有回复，但他们的托管服务提供商表示会立马通知他们的客户，并迅速采取行动禁止他人访问数据库。

我在名为"infcharges"的索引中随机观测了5,000条数据，发现其中大概包含267个患者的信息——比例大约为5.34％。假设这就是平均比例，那这个ElasticSearch大约有146,316名患者的信息。当然，这个比例很有可能是错误的。

虽然此次事件中泄漏的个人隐私数据量并非闻所未闻，但由于都属于康复治疗中心的成瘾患者，所以这些数据比以往泄露的个人信息更加敏感，对那些患者来说，这些数据都是“耻辱”的象征。

任何人一旦找到这个ElasticSearch，就可获取全部信息。而且不管是寻找ElasticSearch，还是抓取这些信息，都不需要复杂的技术。这些敏感信息中包含患者姓名，对应的治疗程序，治疗费用，以及他们接受治疗时所使用的具体设备。

除此之外，攻击者更可以配合谷歌搜索，轻松收集特定患者的更多信息。

正如Paine所指出的，只要通过简单的谷歌搜索，就能获得“病人的年龄，出生日期，地址，过去的地址，患者家属的姓名，他们的关系，可能的电话号码和电子邮件地址”等等 。

而最糟糕的是，康复中心还没有拿出对应的应急响应措施，也没有通知他们的患者这一数据泄露事件。

BleepingComputer一直在尝试和该康复中心进行联系，但截至本文章发布时尚未收到回复。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2509.html
来源：https://www.bleepingcomputer.com/news/security/medical-information-of-almost-150k-rehab-patients-exposed/