Ribuan detail kesehatan yang sangat sensitif dari orang-orang, termasuk audio dan video dari sesi terapi, secara terbuka dapat diakses di internet, penelitian baru telah mengungkapkan. Kumpulan informasi tersebut, terkait dengan perusahaan layanan kesehatan AS, mencakup lebih dari 120.000 file dan lebih dari 1,7 juta log aktivitas.
Pada akhir Agustus, peneliti keamanan Jeremiah Fowler menemukan gudang informasi yang terbuka dalam database yang tidak aman terkait dengan penyedia layanan medis virtual Confidant Health. Perusahaan itu, yang beroperasi di lima negara bagian termasuk Connecticut, Florida, dan Texas, membantu memberikan pemulihan kecanduan alkohol dan narkoba, bersamaan dengan perawatan kesehatan mental dan layanan lainnya.
Dalam 5,3 terabyte data yang terbuka terdapat detail sangat pribadi tentang pasien yang melampaui sesi terapi pribadi. File yang dilihat oleh Fowler termasuk laporan beberapa halaman tentang catatan penerimaan psikiatri orang-orang dan detail sejarah medis. “Di bagian bawah beberapa dokumen itu tertulis ‘data kesehatan rahasia,'” kata Fowler.
Misalnya, satu file penerimaan psikiatri tujuh halaman, yang tampaknya didasarkan pada sesi satu jam dengan seorang pasien, mendetailkan masalah dengan alkohol dan zat lain, termasuk bagaimana pasien tersebut mengaku telah mengonsumsi “jumlah kecil” narkotika dari persediaan hospis kakek neneknya sebelum anggota keluarga tersebut meninggal. Dalam dokumen lain, seorang ibu menggambarkan hubungan “membingungkan” antara suaminya dan anaknya, termasuk bahwa saat anaknya menggunakan stimulan ia menuduh pasangannya melakukan pelecehan seksual.
Dokumen kesehatan yang terbuka termasuk beberapa catatan medis tentang penampilan, suasana hati, ingatan, obat-obatan mereka, dan status mental secara keseluruhan. Selembaran kerja yang dilihat oleh peneliti tampaknya mencantumkan anggota Confidant Health, jumlah janji temu yang mereka miliki, jenis janji temu, dan lainnya.
“Ada beberapa trauma keluarga yang sangat menyedihkan, trauma pribadi yang sangat menyakitkan,” kata Fowler, menambahkan bahwa beberapa file tersebut berupa audio dan video dari sesi pasien. “Ini hampir seperti memiliki rahasia terdalam yang Anda ceritakan pada hari Anda diungkapkan, dan itu adalah hal-hal yang tidak pernah ingin Anda ungkapkan.”
Di samping file medis dalam database yang terbuka terdapat dokumen administrasi dan verifikasi, termasuk salinan SIM, kartu identitas, dan kartu asuransi, kata Fowler. Log juga berisi indikasi bahwa beberapa data dikumpulkan oleh chatbot atau kecerdasan buatan, dengan merujuk pada prompt dan respon AI terhadap pertanyaan.
Confidant Health dengan cepat mematikan akses ke database yang terbuka setelah Fowler menghubungi perusahaan, katanya. Peneliti, yang memberi tahu perusahaan tentang data yang terbuka dan tidak mengunduhnya, mengatakan sebagian dari 120.000 file yang terbuka memiliki bentuk perlindungan kata sandi. Fowler mengatakan telah meninjau sekitar 1.000 file untuk memverifikasi paparan dan menentukan sumber data sehingga dia bisa memberi tahu perusahaan. Dia mengatakan tidak lazim bagi database yang terbuka untuk mencakup file yang terkunci dan tidak terkunci.
Dalam pernyataan kepada WIRED, salah satu pendiri Confidant Health, Jon Read, mengatakan perusahaan serius mengenai kekhawatiran keamanan dan “merasa tidak nyaman dengan sifat sensasional” temuan tersebut. Read mengatakan setelah perusahaan diberitahu tentang “konfigurasi yang tidak semestinya,” akses ke file-file yang terbuka “diperbaiki dalam waktu kurang dari satu jam.”