Nutzer der App von Eshyft, einem IT-Unternehmen aus New Jersey, sind von einem mehr als 100 GByte großen Datenleck betroffen. Auf einem falsch konfigurierten Cloud-Speicher von Amazon Web Services (AWS) waren demnach monatelang sensible Daten von mehr als 86.000 Pflegekräften und anderem medizinischem Personal aus 29 US-Bundesstaaten offen einsehbar. Der IT-Sicherheitsforscher Jeremiah Fowler von Cybernews hatte das Unternehmen auf die Sicherheitslücke aufmerksam gemacht.
Anzeige
Fowler hatte die offene Datenbank laut seinem Bericht am 4. Januar entdeckt und sie zwei Tage später an Eshyft gemeldet. Obwohl das Unternehmen daraufhin Maßnahmen ankündigte, blieb der Speicher mit Informationen des Unternehmens noch über einen Monat lang öffentlich zugänglich. Erst am 5. März wurde die Lücke geschlossen.
Die App ermöglicht die kurzfristige Besetzung von offenen Schichten in Krankenhäusern und anderen Langzeitpflegeeinrichtungen mit zertifizierten Pflegekräften und Krankenschwestern. Mehr als 50.000 Mal wurde sie aus dem Google Play Store heruntergeladen und ist auch im Apple App Store verfügbar.
Vom Sicherheitsforscher geschwärzte Ausweisdokumente, die monatelang öffentlich zugänglich waren.
(Bild: Fowler)
Eshyft sammelt viele sensible Informationen über das Gesundheitspersonal: Zu den 86.341 offengelegten Datensätzen gehörten unter anderem Profilbilder, Ausweisdokumente, Führerscheine, Sozialversicherungsausweise, Arbeitszeitnachweise, Arbeitsverträge, Lebensläufe und Krankenakten.
Mit den Informationen könnten Kriminelle die Betroffenen erpressen oder unter anderem Identitätsdiebstahl begehen. Unklar ist nach wie vor, wie lange die Sicherheitslücke vor ihrer Entdeckung offen war. Eshyft hat auf Anfragen von The Register bisher nicht geantwortet.
(
Kommentare