Paine在发现数据库时通知了主要的治疗中心以及网站托管公司

这是一个人可能拥有的最敏感的医疗信息。一位独立研究人员周五透露，在一个无担保的在线数据库中，可能有成千上万在几个成瘾康复中心寻求治疗的患者的记录被曝光。研究人员贾斯汀•潘恩(Justin Paine)表示，491万份文件包括病人的姓名，以及接受治疗的细节。每位患者在数据库中都有多条记录，Paine估计这些记录可能涵盖大约145,000名患者。

Paine在发现数据库时通知了主要的治疗中心以及网站托管公司。此后，数据已无法向公众提供。Paine通过在Shodan搜索引擎中输入关键字来找到数据，该搜索引擎将服务器和连接到互联网的其他设备编入索引。

“鉴于围绕成瘾的耻辱，这几乎肯定不是病人想要容易获取的信息，”潘恩在博客文章中说，他在出版前与CNET分享。Paine在空闲时间寻找不安全的数据库。他的日常工作是网络安全公司Cloudflare的信任和安全负责人。

该发现是一个普遍问题的最新例子：任何组织现在都可以轻松地将客户数据存储在基于云的服务上，但很少有人具备安全设置它们的专业知识。结果，无数不安全的数据库就在网上，任何拥有一些搜索技能的人都可以找到它们。其中许多数据库都充满了敏感的个人数据。

健康保障数据的泄漏是可以引发显著问题的要求下，联邦法律通知问题的病人。潘恩表示，他没有迹象表明患者已被告知有关数据库暴露的信息，并且宾夕法尼亚州康复中心(其数据构成泄漏的大部分)的恢复步骤没有回应他的消息告诉他们暴露。

恢复步骤首席运营官Cory Cooper周五告诉CNET，该公司正在引进一家网络安全公司进行调查。他说，如果调查发现存在违规行为，公司将通知患者。

“我们非常重视患者记录的安全性和保密性，”Cooper说。

俄勒冈成瘾恢复中心数据中提到的另一个康复中心没有回应CNET的评论请求。Cooper说，俄亥俄州的设施与恢复步骤无关。

潘恩说，他可以通过搜索他们的姓名和可能的位置找到进一步的识别信息，例如患者的年龄，出生日期，地址和家庭成员。他说没有迹象表明黑客访问了这些数据。

“我发现这些数据纯属意外泄露，但恶意的人也可能发现了同样的数据，并可能将其用作身份盗窃的一部分，”Paine说。

医疗身份盗窃是一种常见的欺诈形式，其中有人使用他人的姓名和保险信息来获得医疗保健。有时这种欺诈发生的规模要大得多。2010年，联邦调查人员指控一群人设立了100多家假诊所和计费保险公司，提供假病毒服务和医生记录。

但身份盗窃并不是康复患者数据暴露在线的唯一风险，身份盗窃资源中心执行主任Eva Velasquez说。隐私的丧失和对患者声誉的潜在影响同样重要。

“这说明任何实体在收集数据以及如何保护数据时必须采用的心态，”Velasquez说。