牙科诊所软件制造商修复了暴露患者医疗记录的错误

据TechCrunch报道，Practice by Numbers是数千家牙医诊所使用的患者管理软件的开发商，该公司修复了一个安全漏洞，该漏洞导致该软件捆绑的门户网站上暴露了患者的私人健康记录。

一位名为Joseph R. Cox的患者在他的牙医办公室提供的门户网站上查看自己的牙科记录时遇到了该问题，并向TechCrunch报告了该错误。

该患者门户是Practice by Numbers开发的牙科诊所管理软件的一部分，该软件声称其产品已在美国5,000多家牙科诊所使用。

考克斯说，该漏洞允许该门户网站（该门户网站保存患者的医疗文件和健康记录）的任何用户访问属于其他患者的文件。他说，他能够从他的帐户访问其他患者的文件，包括他们的个人信息、病史、带照片的身份证明和其他文件。该漏洞还意味着考克斯的记录也会暴露给其他患者。

考克斯表示，他试图通过电子邮件就该问题向该公司发出警告，但没有收到回复。然后，他通知TechCrunch作为最后手段，要求该公司修补该错误。

任何登录Practice by Numbers患者门户网站的人都非常容易利用该漏洞。考克斯说，在门户中加载他的一份文档时更改网址中的文档编号允许用户访问其他患者的文件。

更糟糕的是，考克斯表示，网址中的文件编号似乎是按顺序递增的，因此可以轻松猜测其他人的医疗文件的文件编号。

Cox告诉TechCrunch，他在向Practice by Numbers发出该问题警报时遇到了困难，因为该公司没有提供报告安全问题的明显途径。该公司网站上的电子邮件地址已被破坏，电子邮件因无法送达而被退回。相反，考克斯在LinkedIn上向该公司的一位创始人发送了一条消息，但在发送后续电子邮件后没有收到任何回复。

该问题现已解决，凸显了最近的趋势：普通消费者发现公司产品或网站存在安全缺陷，但没有明确的方式向开发人员报告该问题。

4月初，时尚零售商Express修复了一个网站错误，该错误允许任何人访问其他客户的订单详细信息和个人信息，用户发现该错误后，但找不到任何方式提醒该公司。去年12月，家得宝 (Home Depot) 也发生过类似事件：一名安全研究人员试图私下向该公司发出有关安全漏洞的警告，该漏洞导致其内部系统的访问权限暴露了近一年，但他们的报告被忽略，直到TechCrunch联系该公司。

鉴于该安全漏洞正在使患者数据面临风险，TechCrunch于4月13日向Practice by Numbers发出了有关该问题的警报。该公司关闭了其患者门户网站以修复该错误，并于4月17日将其重新上线。

Practice by Numbers的联合创始人兼CTOChris Lau告诉TechCrunch，该公司已经修复了该漏洞，并援引其服务器日志，通知不到10名患者，他们的信息因该错误而暴露。

该公司表示正在与受影响的牙科诊所合作，通知受影响的患者。刘表示，该公司尚未发现与该漏洞相关的先前活动的证据，这表明考克斯可能是第一个发现该漏洞的人。

考克斯确认该错误似乎已得到修复。

当TechCrunch询问时，Lau和Practice by Number的联合创始人兼总裁Rohit Garg都没有透露该公司的患者门户网站在推出之前是否经过了安全审核。公司通常会接受安全审核，以确保其产品符合网络安全标准，并且在客户开始使用之前不存在常见的安全缺陷。

虽然没有一个软件是完全没有错误的，但处理医疗数据等敏感信息的公司通常会寻求第三方对其代码进行审查，以消除任何重大的安全缺陷。

当被问及Practice by Numbers是否计划更新其网站以允许安全研究人员通过漏洞披露计划等方式通知公司安全缺陷时，Garg表示，该公司计划更新其网站以允许人们报告安全问题。该公司没有提供时间表。