牙科软件厂商修复暴露患者医疗记录的安全漏洞

据TechCrunch报道，牙科诊所管理软件开发商Practice by Numbers已修复其患者门户中存在的安全漏洞，该漏洞曾导致患者的私人健康记录被暴露。该公司称其产品在美国5000多家牙科诊所使用。患者Joseph R. Cox在查看自己的牙科记录时发现此漏洞，通过修改门户网站地址中的文档编号（呈顺序递增），可访问其他患者的文件，包括个人信息、病史、照片身份证明等，同时他自己的记录也面临同样风险。Cox尝试通过电子邮件联系该公司但未收到回复，其网站上的邮箱地址无法投递，向公司创始人发送LinkedIn消息后亦无回应，最终联系TechCrunch。TechCrunch于4月13日通知该公司后，其于4月17日修复漏洞并重新上线患者门户。公司联合创始人兼CTO Chris Lau表示，正通知不到10名受影响患者，称服务器日志显示无此前漏洞相关活动迹象，Cox可能是首位发现者。当被问及患者门户上线前是否经过安全审计，以及是否计划更新网站以建立漏洞披露程序时，公司未明确回答安全审计情况，仅表示计划更新网站以允许报告安全问题，但未提供时间表。此事件反映出普通消费者发现安全漏洞后难以向企业报告的趋势，类似案例包括4月时尚零售商Express及12月Home Depot的安全漏洞事件。