インド最大手の臨床検査会社の一つであるDr Lal PathLabsが、患者データの膨大なキャッシュを数ヶ月間パブリックサーバー上に放置していたことがTechCrunchの取材で分かった。
ニューデリーに本社を置くこの大手検査会社は、1日あたり約7万人の患者にサービスを提供しており、インド政府の認可を得てから急速にCOVID-19の患者検査の主要プレーヤーとなった。
しかし同社は、患者の機密データが詰まった数百の大きなスプレッドシートを、Amazon Web Services (AWS) でホストされているストレージバケットにパスワードなしで保存していたため、誰でもそのデータにアクセスできてしまう状態だった。
オーストラリアを拠点とするセキュリティ専門家、サミ・トイヴォネン氏は、9月に漏洩したデータを発見し、Dr Lal PathLabsに報告した。同社はすぐにバケットへのアクセスを遮断したが、返答はなかったとトイヴォネン氏はTechCrunchに語った。
バケツがどれくらいの時間露出していたかは不明です。
トイヴォネン氏は、漏洩したデータは数百万件の個々の患者の予約に相当したと述べた。
スプレッドシートには、患者の毎日の臨床検査記録が含まれているようです。各スプレッドシートには、患者の氏名、住所、性別、生年月日、携帯電話番号に加え、患者が受けている検査の詳細が記載されており、これらは医学的診断や健康状態を示唆または推測する可能性のあるものでした。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
一部の予約記録には、患者がCOVID-19の検査で陽性であったかどうかなど、患者に関する追加のコメントが含まれていました。
トイヴォネン氏は、検証のため、公開されたサーバーのファイルのサンプルをTechCrunchに提供しました。私たちは数名の患者に連絡を取り、スプレッドシートに記載された詳細情報を確認しました。
「この事実を知った時、また上場企業が自社のデータ保護に失敗したことに愕然としました。しかし、セキュリティはチームワークであり、全員の責任だと信じています」とトイヴォネン氏はTechCrunchに語った。「私が連絡してから数時間以内にデータ保護ができたことを嬉しく思います。何百万件もの患者記録がこのように漏洩すれば、悪意のある人物によって様々な方法で悪用される可能性があるからです。」
「私の責任ある開示に対して彼らが反応しなかったことにも少し驚いた」と彼は語った。
ドクター・ラル・パスラボの広報担当者は、セキュリティ上の不備について「調査中」であると述べたが、同社が患者に感染について知らせる予定があるかどうかなど、私たちの質問には答えなかった。
データ侵害への対処法
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
マニッシュ・シンはTechCrunchのシニアレポーターで、インドのスタートアップシーンとベンチャーキャピタル投資を取材しています。また、世界的なテクノロジー企業のインドでの活動についてもレポートしています。2019年にTechCrunchに入社する前は、CNBCやVentureBeatなど、12以上のメディアに寄稿していました。2015年にコンピュータサイエンスとエンジニアリングの学位を取得しています。連絡先はmanish(at)techcrunch(dot)comです。
バイオを見る
