レスターシャー州の介護施設で1万件の記録が漏洩し、高齢患者の蘇生希望の有無、詳細なケアプラン、自治体が個々の患者のケアに支払った正確な金額が明らかになった。
Rotherwood Healthcare として営業している Rotherwood Care Group は、インターネット上の誰もがアクセス可能な Amazon Web Services S3 バケットを残しただけでなく、この英国企業の Web サイトのプライバシー ポリシーは lorem ipsum プレースホルダー テキストのみで構成されていました。
漏洩は、セキュリティ対策が不十分だったS3バケットから発生しました。The Registerはセキュリティ研究者からこの情報を入手し、その研究者はGCHQが支援するCyber Protectネットワークの最寄りの支部にも連絡しました。
レジスター紙がこの記事の公開前にオープンデータが非公開になっていることを確認するためにロザーウッド社に連絡したところ、同社は弁護士による書簡で返答した。
Rotherwood Healthcareのオンラインプライバシーポリシー。こちらからご覧いただけます。
Lorem ipsum (lipsum とも呼ばれる) は、デザインや出版で使用されるデフォルトのプレースホルダー テキストです。
安全対策が施されていない S3 バケットは、スタッフと患者に関する重要なデータを収集して保存するために使用されていると思われる CRM スタイルのソフトウェア スイートである Rotherwood の内部システムを稼働させているようでした。
約1万件の個別ファイルが、このバケツの中に無防備な状態で残されていました。その中には、ケアプラン内部の監査記録も含まれていました。ケアプラン自体が使用可能かどうかを介護施設のスタッフが評価するために作成されたこれらの文書には、患者の氏名と健康状態だけでなく、「DNACPR」(蘇生措置)の選択肢も記載されていました。
バケツの中には、スタッフのパスポートと出生証明書と思われるスキャン画像や、就職面接の質問と回答も入っていた。
住民の滞在費としていくら支払っているかを正確に示す地方議会からの電子メールも、患者固有の専門医療機器の詳細とともに、バケツを訪れた人なら誰でも自由に閲覧可能だった。
名誉のために言っておくと、その店は通知を受けてから 1 日以内にバケットを一般人の立ち入りから閉鎖しました。
ロザーウッドの広報担当者はThe Register紙に対し、「ロザーウッド・グループは個人データの保護を非常に重視しています。クラウドベースのシステムに保存されている一部のデータにセキュリティ上の問題があることを認識した時点で、直ちに是正措置を講じました。データの不正使用は認識しておらず、ICOとの連携を含め、引き続き調査を進めています」と述べた。
現代において、AWSバケットを無防備なまま放置する言い訳は通用しません。Amazonは、不適切に開かれたバケットを検出して閉鎖するためのツールを提供しています(これらのツールの分かりやすい概要はこちらでご覧いただけます)。一方、パブリッククラウドストレージの登場以来、多くの企業が個人情報や商業情報の機密漏洩に見舞われてきました。
そうした例の 1 つが昨年の Teletext Holidays で、電話のキーパッド入力から生成されたクレジットカード番号の音を含む通話録音が公開されました。®
