由于英国软件公司Logezy的员工管理数据库配置错误，800万英国医疗保健工作者记录（包括身份证和财务数据）遭到泄露。

 

vpnMentor的网络安全研究员兼Security Discovery联合创始人Jeremiah Fowler最近发现了一起重大数据泄露事件，涉及一家专门从事员工数据管理的英国软件公司Logezy。

根据Fowler分享的调查结果，泄露的数据揭示了近800万条记录，总计1.1TB的数据（7975438个文件），存储在缺乏密码保护和加密的数据库中。

暴露的数据库包含敏感信息，包括工作授权文件、国民保险号码、证书、电子签名、时间表、用户图像和政府颁发的身份证件。

福勒在报告中指出：“该数据库还包含 656 个目录条目，表明有不同的公司，其中大多数是医疗保健提供商、招聘机构或临时就业服务。”

Fowler立即通知了Logezy，随后数据库的访问被限制。然而，关于该数据库公开访问的时间长短、是否有未经授权的个人访问过数据，以及该数据库是由Logezy直接管理还是由第三方承包商管理，仍然存在疑问。法务审计或许可以解答这些问题。

总部位于英国德比的Logezy公司的员工管理软件旨在简化长期员工和临时员工的管理，提供员工部署、支付、计费和员工数据管理等功能。值得注意的是，尽管Logezy声称服务于各行各业，但曝光的记录主要涉及医疗保健行业和医护人员。

这种数据泄露带来了巨大的风险，尤其是在医疗保健行业，该行业越来越成为网络攻击的目标。泄露的信息可能被用于恶意目的，包括身份盗窃。犯罪分子可能会利用窃取的数据冒充医护人员的身份，以获取经济利益。

暴露的凭证和电子签名还可能助长未经授权访问内部医疗保健系统，从而可能泄露敏感的患者数据。“医疗保健数据对网络犯罪分子来说是一种宝贵的商品，这已不是什么秘密，但医疗保健行业从业人员的PII也同样如此，”Fowler说道。

此外，个人信息可能被用于社会工程攻击，网络犯罪分子会操纵个人泄露机密信息或授予系统访问权限。这也增加了勒索软件攻击的风险，从而严重扰乱医疗保健的正常运营。

福勒并不暗示Logezy有任何不当行为，并建议那些怀疑自己的信息可能已被泄露的个人监控自己的账户和信用报告，以发现任何可疑活动的迹象。

他还强调了集中式数据存储带来的高风险，尤其是对于处理来自多个组织数据的公司而言。Fowler总结道，将数据划分到独立、安全的存储环境中，并采用先进的访问控制机制和加密技术来减轻数据泄露的影响，或许是预防此类意外数据泄露风险的更佳策略。