報導摘要

根據《HackRead》的報導，一場發生在俄亥俄州名為 Ohio Medical Alliance（又稱 Ohio Marijuana Card）的醫療大麻資料庫的重大資安事件，導致高達近百萬筆病患記錄外洩。這起事件由資安研究員 Jeremiah Fowler 發現，其揭露了兩個未受保護的雲端資料庫，這些資料庫既沒有加密也缺乏密碼保護。外洩的數據內容極為敏感，包含病患的姓名、社會安全碼（SSN）、出生日期、家庭住址、高解析度駕照圖像，以及極其個人化的醫療資訊，如醫師證明和針對創傷後壓力症候群（PTSD）等疾病的評估。此外，一個獨立的 CSV 文件也暴露了超過 21 萬個電子郵件地址，涉及病患、員工和業務夥伴。儘管研究員在發現後立即通知了該公司，資料庫也隨後被關閉，但其在公開網路上暴露的時間與是否被未經授權者存取，仍不得而知。

資料外洩的嚴重性與影響

這起資料外洩事件不僅僅是一次技術性的失誤，它對受影響的病患造成了多層面的嚴重威脅。首先，社會安全碼（SSN）與駕照資訊的曝光，是身份盜竊與金融詐騙的溫床。犯罪分子可以利用這些關鍵資訊開設虛假帳戶、申請貸款或進行其他非法活動，對受害者的財務安全造成長期且難以挽回的損害。

其次，病歷記錄的曝光對個人隱私構成前所未有的侵害。這些數據詳細揭露了病患的具體健康狀況，包括身心健康問題，例如焦慮症與創傷後壓力症候群。在一個對醫療大麻仍存在社會偏見的環境中，這類資訊的非自願曝光可能導致病患在就業、保險申請，甚至個人社交生活中面臨歧視、騷擾或負面影響。數據隱私的喪失，不僅僅是技術問題，更直接關聯到個人的尊嚴與安全。

雲端資安配置錯誤的教訓

導致這起事件的根本原因，是兩個雲端資料庫的嚴重配置錯誤。這再次突顯了企業在採用雲端服務時，必須優先考慮資料的保護與正確配置。許多公司可能僅關注於將數據遷移至雲端所帶來的便利與成本效益，卻忽略了最基本的安全措施，如加密、存取控制與密碼保護。

這起事件也為整個醫療產業，特別是像醫療大麻這類高度敏感的領域，敲響了警鐘。隨著醫療數據數位化的趨勢日益加強，相關組織必須建立起更為嚴格的資安協議與防護措施。這不僅包括技術層面的加密與存取管理，也應涵蓋人員的資安意識培訓與定期審核。任何一個環節的疏忽，都可能導致災難性的後果。

數據隱私保護的未來與責任歸屬

這起事件引發了對於企業責任與法規監管的深思。雖然該公司在收到通知後迅速關閉了資料庫，但這並不能免除其因疏忽而導致數據外洩的責任。未來的法規應更加明確地定義，當企業因配置錯誤導致數據外洩時的責任與懲罰，從而強制企業將資料安全視為營運的最高優先事項。同時，消費者也應提升自身的資安意識，並在提供個人敏感數據時，謹慎選擇值得信賴的服務提供商。在數位時代，數據隱私已不僅僅是個人問題，更是需要企業、法規與社會共同努力來維護的公共利益。

資料來源：https://hackread.com/ssns-health-records-exposed-marijuana-patient-database/