一个配置错误的数据库暴露了108.8GB的敏感数据，其中包括ESHYFT旗下86000多名医护人员的信息。ESHYFT是一家总部位于新泽西州的健康科技公司，业务遍及29个州。ESHYFT还提供一个移动平台，将医疗机构与合格的护理专业人员联系起来。

被暴露的数据库没有密码保护或加密，包含大量个人身份信息(PII)，包括SSN、身份证件扫描件、薪资详情、工作经历等。

该数据库是由网络安全研究员Jeremiah Fowler发现的，他分享了他们的报告，透露暴露的数据包括个人资料图像、面部图像、专业证书、工作任务协议、简历和履历。

此外，一份电子表格文档包含超过80万条条目，详细记录了护士的内部ID、机构名称、轮班时间和日期、工作时间等。更糟糕的是，医疗文件（包括包含诊断、处方或治疗信息的医疗报告）也被泄露。

此类敏感数据的泄露可能会受到HIPAA 法规的约束。它还可能使易受攻击的用户面临在线和物理风险，包括身份盗窃、就业欺诈、金融欺诈和有针对性的网络钓鱼活动。

好消息是Fowler立即通知了ESHYFT。坏消息是该公司在收到警告后花了一个多月的时间才限制公众访问该数据库。不过，据Fowler称，暴露的数据库并非由ESHYFT拥有或直接管理。

目前尚不清楚是否有第三方承包商负责管理。此外，暴露的持续时间以及是否有未经授权的人员访问数据也不得而知。

然而，网络犯罪分子可能会利用暴露的数据以受害者的名义实施犯罪或欺骗他们透露更多个人或财务信息。因此，HealthTech必须实施适当的网络安全措施，包括：
1. 对敏感数据实施强制加密协议;
2. 使用多因素身份验证来防止未经授权的访问;
3. 进行定期安全审核以识别潜在的漏洞;
4. 隔离敏感数据并为不再使用的数据指定到期日期;
5. 制定数据泄露应对计划并建立专门的沟通渠道来报告潜在的安全事件;
6. 及时向受影响的个人提供负责任的披露通知，并教育他们如何识别网络钓鱼企图。