患者门户漏洞暴露了多家牙科诊所的记录
据 TechCrunch 报道,Practice by Numbers 是一家牙科门诊管理软件开发商,其产品在美国超过 5,000 家诊所中使用,现已修复一个安全漏洞,该漏洞曾通过其门户暴露患者记录。该问题是由一名使用门户查看自己牙科文件的患者发现的。
报道称,这一漏洞允许已登录的患者访问属于其他患者的文档。被暴露的文件据称包括个人信息、病史、照片身份证件以及其他文档。由于该漏洞影响了文档的检索方式,发现问题的患者表示,他自己的文件也很可能同样被暴露给了其他人。
一个易于利用却后果敏感的问题
这一被报告的弱点之所以引人注意,不仅因为它涉及健康信息,还因为它很容易被利用。TechCrunch 说,这名患者发现,只要修改网页地址中的一个文档编号,就可能看到其他文件。这些文档编号似乎还是连续递增的,这意味着不必费太大力气就可能猜到其他记录。
这种组合很重要。一个需要深厚技术能力的漏洞已经足够危险,但一个普通门户用户就能复现的漏洞,会带来更大的暴露面。在这个案例中,访问系统似乎并不需要专门工具或内部权限,只要有有效的患者登录即可。
患者在报告时遇到困难后,修复才到来
这名患者表示,他曾尝试直接提醒公司,先后通过电子邮件和 LinkedIn 联系,但在联系 TechCrunch 之前都没有收到回复。该媒体报道称,公司公开的邮箱地址返回了无法投递的邮件,导致没有明确的负责任披露途径。
这一细节几乎和漏洞本身一样重要。此事反映出消费级和企业软件中的一个反复出现的问题:公司通常要求用户把敏感数据交给它们,但许多公司仍缺少一个可见且可用的安全问题报告渠道。当发现漏洞的人找不到通往正确团队的路径时,暴露窗口就会比应有的时间更久地保持开启。
