宅中地 - 每日更新
宅中地 - 每日更新

贊助商廣告

X

牙科診所軟體漏洞修復:患者醫療記錄曾遭泄露

2026年07月15日 首頁 » 熱門科技

據TechCrunch獲悉,牙科患者管理軟體開發商Practice by Numbers已修復一處安全漏洞。該漏洞曾導致患者私人健康檔案在軟體配套患者門戶網站上遭到暴露。

事情的起因是一名叫約瑟夫·R·考克斯的患者在瀏覽自己的牙科記錄時發現了這一問題,並隨即向TechCrunch進行了舉報。該患者門戶是Practice by Numbers開發的牙科診所管理軟體的組成部分,據該公司稱,其產品目前已被全美超過5000家牙科診所使用。

考克斯表示,該漏洞允許任何擁有門戶賬號的用戶訪問其他患者的文件,內容涵蓋個人資訊、病史、證件照片及其他資料。同樣,他自己的記錄也以相同方式暴露在其他患者面前。

考克斯曾嘗試通過電子郵件向該公司反映問題,但未獲回復。無奈之下,他聯繫了TechCrunch,希望藉助媒體的力量督促公司修復漏洞。

這一漏洞的利用方式極為簡單:只需在門戶網站加載文件時修改網址中的文檔編號,便可訪問其他患者的文件。更令人擔憂的是,這些文檔編號似乎按順序遞增排列,這意味著攻擊者可以輕易猜出其他人的醫療檔案編號。

考克斯還透露,向Practice by Numbers報告漏洞的過程相當艱難。該公司官網上既沒有安全問題的專屬反饋渠道,郵箱地址也因無法送達而形同虛設。他隨後嘗試在領英上聯繫公司創始人,但發送後續郵件後同樣杳無音訊。

此次事件折射出近期一種令人憂慮的趨勢:普通用戶發現了企業產品或網站中的安全漏洞,卻苦於找不到向開發者舉報的有效途徑。

類似事件並非孤例。今年4月初,時尚零售商Express修復了一處網站漏洞,該漏洞曾允許任何人訪問其他顧客的訂單詳情和個人資訊,發現該漏洞的用戶同樣無處反饋。去年12月,家得寶也發生了類似情況:一名安全研究人員曾試圖私下提醒公司注意一處長達近一年的內部系統訪問漏洞,但其報告屢遭忽視,直到TechCrunch介入聯繫後,公司才予以重視。

鑑於該漏洞正在持續威脅患者數據安全,TechCrunch於4月13日主動聯繫了Practice by Numbers。該公司隨即下線患者門戶以修復漏洞,並於4月17日恢復上線。

Practice by Numbers聯合創始人兼首席技術官克里斯·劉告訴TechCrunch,公司已修復該漏洞,並根據伺服器日誌認定受影響的患者不足10人,目前正協同相關牙科診所向受影響患者發出通知。他表示,公司未發現此前存在與該漏洞相關的可疑訪問行為,推測考克斯極有可能是第一個發現者。

考克斯也確認,該漏洞已被修復。

然而,當TechCrunch詢問患者門戶上線前是否曾進行過安全審計時,劉和公司聯合創始人兼總裁羅希特·加格均未正面作答。安全審計是企業確保產品符合網路安全標準、在用戶使用前排除常見安全漏洞的通行做法。儘管沒有軟體能做到完全無懈可擊,但處理醫療數據等敏感資訊的企業,通常會尋求第三方對代碼進行審查,以剔除重大安全隱患。

當被問及是否計劃在官網建立漏洞披露渠道時,加格表示公司計劃更新網站,以便用戶報告安全問題,但未給出具體時間表。

Q&A

Q1:Practice by Numbers的患者門戶漏洞是如何被發現的?

A:一名叫約瑟夫·R·考克斯的患者在瀏覽自己的牙科記錄時偶然發現了這一漏洞。他注意到,只需修改網址中的文檔編號,即可訪問其他患者的文件,包括個人資訊、病史和證件照等敏感內容。他嘗試通過郵件和領英聯繫公司,均未獲回應,最終向TechCrunch舉報,促使公司修復了漏洞。

Q2:Practice by Numbers的患者門戶漏洞修復花了多長時間?

A:TechCrunch於4月13日聯繫Practice by Numbers告知漏洞情況,公司隨即下線患者門戶進行修復,並於4月17日恢復上線,整個修復過程歷時約4天。

Q3:Practice by Numbers的漏洞事件中,有多少患者的數據受到了影響?

A:根據該公司聯合創始人兼首席技術官克里斯·劉的說法,結合公司伺服器日誌分析,受該漏洞影響的患者不足10人。公司表示未發現此前存在與漏洞相關的異常訪問記錄,推測發現漏洞的考克斯可能是第一個利用該漏洞的人。

宅中地 - Facebook 分享 宅中地 - Twitter 分享 宅中地 - Whatsapp 分享 宅中地 - Line 分享
相關內容
Copyright ©2026 | 服務條款 | DMCA | 聯絡我們
宅中地 - 每日更新