医疗保健数据库配置错误泄露了敏感的患者信息。

网络安全研究员Jeremiah Fowler最近发现了一个庞大的数据库，该数据库属于加拿大公司Care1，该公司为验光师提供人工智能软件解决方案。该数据库包含超过480万条患者信息记录(总大小为2.2TB)，完全没有受到保护，暴露了患者姓名、地址、病史等敏感数据，甚至他们独特的个人健康号码(PHN)。

Care1是一家专业的医疗技术公司，拥有170多名合作验光师，使用其软件管理超过15万次患者就诊。他们擅长利用人工智能、先进的软件工程和广泛的合作伙伴网络来颠覆眼科护理。

根据Fowler的调查结果(由vpnMentor发布)，泄露的数据包括详细的眼科检查报告，其中包含患者信息、医生笔记和图像。眼科检查报告为PDF格式，包括患者PII、医生评论和图像。

此外，CSV和XLS电子表格也是暴露数据库的一部分，其中列出了患者的家庭住址、个人健康号码(PHN)和其他健康相关信息，包括医生的评论和眼科检查的图像。

在加拿大医疗保健系统中，个人健康号码(PHN)是一个唯一标识符，可确保所有提供商都可以访问患者的健康信息。虽然PHN本身可能不会直接导致金融欺诈，但它可能是犯罪分子建立个人全面档案的宝贵信息。

目前尚不清楚该数据库是直接由Care1拥有和管理，还是由第三方承包商处理。除非进行内部取证审计，否则尚不清楚该数据库暴露了多长时间，或是否有任何未经授权的个人访问过该数据库。根据Fowler的博客文章，他向该公司发送了一份负责任的披露通知，并迅速限制了公众访问。

随着医疗保健领域对数字系统的依赖性越来越强，数据泄露的可能性也在增加。这种程度的暴露给患者带来了巨大的隐私风险，因为他们的医疗信息可能被滥用于身份盗窃或其他恶意活动。2023年，福勒发现了 一个属于印度医疗诊断公司Redcliffe Labs的未受密码保护的数据库，其中包含超过1200万条记录，包括敏感的患者数据，如医疗扫描和测试结果。

这些事件反映出医疗保健行业需要加强安全措施。像Care1这样处理敏感患者信息的公司必须优先考虑严格的网络安全措施，包括强加密、访问控制和定期安全审计。