牙科管理软件修复重大漏洞,患者病历曾面临泄露风险
牙科管理软件开发商 Practice by Numbers 修复了一个严重安全漏洞。该漏洞曾导致其门户网站中的患者私人健康记录处于暴露状态。
该软件配套的患者门户网站被美国数千家牙科诊所使用。患者约瑟夫·考克斯(Joseph R. Cox)在通过诊所提供的门户查看个人记录时发现了该问题,并及时进行了报告。
漏洞详情
- 数据泄露风险: 该漏洞允许任何登录门户网站的用户访问其他患者的文档,包括个人详细信息、病史、身份证件及其他敏感文件。
- 利用方式简单: 漏洞利用门槛极低。用户只需在网页地址(URL)中修改文档编号,即可切换查看其他患者的文件。
- 编号可猜测: 更严重的是,网页地址中的文档编号似乎是按顺序递增的,这意味着外人可以轻易猜测并批量获取他人的医疗文件。
反馈与修复
考克斯发现漏洞后,曾试图通过电子邮件提醒该公司,但未收到回复。由于公司官网公布的邮箱地址已失效,他还在 LinkedIn 上联系了公司创始人,但依然未果。作为最后手段,他向媒体 TechCrunch 通报了此事。在媒体介入后,该漏洞目前已被修复。
行业趋势
此次事件凸显了一个近期趋势:普通消费者发现公司产品或网站的安全漏洞后,往往缺乏有效的渠道向开发者报告。此前,服装零售商 Express 和家得宝也发生过类似情况,用户发现问题后因无法直接联系公司解决,最终不得不通过媒体求助才推动漏洞修复。
关注微信号:智享开源 ,可及时获取信息
评论列表
发表评论
为你推荐
关注微信
近期评论
- 发表在《今天我终于找到了加快网站速度的办法》
- 发表在《如何成为超级个体?》
- 发表在《像ChatGPT一样记笔记》
- 发表在《python 如何将电子表格按照某一列相同数据分到一个一个工作表中》
- 发表在《python 如何将电子表格按照某一列相同数据分到一个一个工作表中》
还没有任何评论,你来说两句吧!