'Uber untuk perawat', insiden lebih dari 86.000 rekam medis dan informasi identitas pribadi terekspos melalui bucket S3 yang terbuka

 (websiteplanet.com)
1 poin oleh GN⁺ 2025-03-14 | 1 komentar | Bagikan ke WhatsApp

Ribuan catatan, termasuk PII, terekspos secara online

  • Basis data milik perusahaan healthtech berbasis di New Jersey bernama ESHYFT terekspos tanpa perlindungan kata sandi. Perusahaan ini menghubungkan fasilitas kesehatan dan perawat melalui platform aplikasi seluler.
  • Basis data yang terekspos berisi 86.341 catatan dengan total ukuran 108,8GB. Basis data tersebut mencakup foto profil pengguna, log jadwal kerja, sertifikasi profesional, kontrak kerja, dan resume.
  • Beberapa dokumen juga mencakup dokumen medis yang berisi diagnosis, resep, dan informasi perawatan, yang berpotensi melanggar aturan HIPAA.
  • Basis data tersebut tampaknya dimiliki oleh ESHYFT; setelah temuan ini, perusahaan diberi tahu, dan akses dibatasi sebulan kemudian.

Peran dan pentingnya ESHYFT

  • ESHYFT menyediakan platform seluler yang menghubungkan fasilitas kesehatan dan perawat, dan beroperasi di 29 negara bagian.
  • Aplikasi ini memungkinkan perawat memilih shift yang sesuai dengan jadwal mereka, sekaligus menyediakan tenaga keperawatan terverifikasi bagi fasilitas kesehatan.
  • Telah diunduh lebih dari 50.000 kali di Google Play Store.

Risiko kebocoran data pribadi

  • Tereksposnya informasi identitas pribadi (PII), informasi gaji, dan riwayat kerja dapat menimbulkan risiko dan kerentanan serius bagi individu maupun institusi pemberi kerja.
  • Jika digabungkan dengan informasi seperti kartu identitas dan alamat, pelaku kejahatan siber dapat melakukan pencurian identitas atau penipuan keuangan.
  • Informasi yang terekspos dapat disalahgunakan dalam kampanye phishing untuk memancing korban memberikan informasi pribadi atau keuangan tambahan.

Rekomendasi penguatan keamanan

  • Perusahaan healthtech dan penyedia perangkat lunak medis harus mengambil langkah keamanan siber yang proaktif untuk melindungi data dan mencegah akses tanpa izin.
  • Perlu mewajibkan protokol enkripsi untuk data sensitif dan melakukan audit keamanan rutin terhadap infrastruktur internal.
  • Data sensitif sebaiknya dianonimkan semaksimal mungkin, dan data yang tidak digunakan harus dibatasi penyimpanannya dengan menetapkan tanggal kedaluwarsa.
  • Autentikasi multi-faktor (MFA) harus diwajibkan agar data tidak mudah diakses meskipun kredensial pengguna terekspos.
  • Perlu disiapkan rencana respons kebocoran data serta saluran komunikasi khusus untuk pelaporan insiden keamanan.

Kesimpulan

  • Saat terjadi kebocoran data, semua pihak yang berpotensi terdampak harus segera menerima pemberitahuan yang bertanggung jawab.
  • Pengguna harus diedukasi tentang cara mengenali upaya phishing, yang menguntungkan baik penyedia layanan maupun pengguna.
  • Laporan ini disusun untuk tujuan edukasi dan tidak mencerminkan kerusakan aktual terhadap integritas data.

Bacaan terkait

1 komentar

 
GN⁺ 2025-03-14
Opini Hacker News
  • Baru-baru ini saya mendengar tentang sebuah perusahaan yang, sebelum menawarkan pekerjaan shift, memeriksa tingkat utang seseorang melalui laporan kredit lalu menurunkan tarif per jam berdasarkan hal itu
    • Jika ada konsekuensi negatif untuk pelanggaran seperti ini, mereka pantas menerima semuanya
  • Di bagian keamanan data pada kebijakan privasi mereka tertulis sebagai berikut
    • Kami menggunakan perlindungan fisik, administratif, dan teknis tertentu untuk meningkatkan integritas dan keamanan informasi yang kami kumpulkan dan simpan
    • Tidak ada langkah keamanan yang sempurna atau tidak dapat ditembus
    • Tidak dirancang untuk menyimpan atau melindungi informasi yang dapat dianggap sebagai protected health information sebagaimana didefinisikan oleh HIPAA
    • Saya ragu mereka bisa menghindari tanggung jawab dengan alasan sistemnya memang tidak dirancang agar patuh HIPAA
  • Orang-orang bingung karena tingkat otoritas yang dimiliki tenaga medis
    • Jangan pernah memberikan nomor jaminan sosial kepada dokter atau rumah sakit
    • Ketika mereka ingin memverifikasi identitas, itu tidak berarti mereka boleh memindai atau memotret dokumen Anda
    • Dokter dan rumah sakit sangat lemah dalam keamanan informasi
  • Industri kesehatan secara keseluruhan memang penuh masalah
    • Rumah sakit murah milik korporasi tidak mempekerjakan perawat sebagai pegawai tetap
    • Harga murah kemungkinan besar yang membuat rumah sakit tertarik pada aplikasi ini, dan mungkin ada rebate untuk para administrator yang menyetujuinya
    • ESHYFT seharusnya bangkrut, tetapi mungkin tidak akan terjadi apa-apa
  • Saya penasaran sudah berapa lama bucket S3 itu ada
    • AWS sudah membuat bucket S3 baru bersifat privat secara default
    • Mungkin itu bucket lama, atau mungkin dibuka secara sembrono karena upload/download file dari aplikasi/layanan mobile tidak berfungsi
  • Saya juga penasaran apakah AWS yang akan disalahkan
    • Prosedur keamanan saat meretas jam 3 pagi demi teman tidak berlaku untuk produk yang meng-host PII
    • Menerapkan keamanan data dasar adalah tanggung jawab pengguna
  • Saya penasaran mengapa mereka memakai ungkapan "Uber untuk perawat" dan tidak menggunakan nama perusahaan yang sebenarnya di judul
  • Saya penasaran apakah kita masih berpura-pura bahwa lembaga regulator yang masih berfungsi bisa mengambil tindakan atas masalah ini
  • Saya pernah bekerja di bidang health tech, dan ini masalah yang sangat serius
    • Dendanya dihitung per catatan pasien, dan itu tidak murah
    • Anda akan naik ke "tembok rasa malu", dan orang-orang yang bisa bertransaksi dengan Anda di masa depan akan melihatnya
    • Jika Anda melakukan kesalahan, Anda bisa dimintai tanggung jawab secara pribadi
    • Di tempat kerja saya sebelumnya, kami memastikan PII tidak pernah dikirim lewat API dan menyimpannya di VPS yang terpisah sepenuhnya dari sistem
    • Saat catatan dibutuhkan, kami menaruhnya di bucket S3 dan memberikan tautan sementara yang hanya bisa diakses oleh pemanggil
    • Sangat merepotkan, tetapi saya bisa tidur nyenyak
  • Saya pernah membaca makalah penelitian bahwa pekerjaan yang menuntut passion justru paling rendah upahnya/paling berlebihan bebannya
    • Contoh: guru, perawat, musisi, atlet