牙科診所軟體開發商修復漏洞，該漏洞曾導致病患醫療紀錄外洩

Practice by Numbers 是一家開發被數千家牙醫診所使用的患者管理軟體的公司。據 TechCrunch 獲悉，該公司已修復了一個安全漏洞，該漏洞曾導致患者的私人健康記錄在軟體隨附的入口網站上外洩。

一名患者 Joseph R. Cox 在診所提供的入口網站上查看自己的牙科記錄時發現了這個問題，隨後向 TechCrunch 報告了該漏洞。

這個患者入口網站是 Practice by Numbers 開發的牙科診所管理軟體的一部分，該公司聲稱其產品被全美超過 5,000 家牙科診所使用。

Cox 表示，該漏洞允許該入口網站（存放患者醫療文件和健康記錄）的任何使用者存取屬於其他患者的文件。他說他能從自己的帳戶存取其他患者的文件，包括他們的個人資訊、病史、照片身份證明和其他檔案。這個漏洞也意味著 Cox 的記錄同樣暴露在其他患者面前。

Cox 表示，他曾嘗試透過電子郵件向該公司發出警報，但未收到回覆。最後他通知了 TechCrunch，希望藉此要求該公司修復漏洞。

對於任何擁有 Practice by Numbers 患者入口網站登入權限的人來說，利用這個漏洞都極其簡單。Cox 說，在入口網站加載他自己的文件時，只需更改網址中的文件編號，就能存取其他患者的檔案。

更糟糕的是，Cox 表示網址中的文件編號似乎是按順序遞增的，因此很容易猜測到其他人醫療檔案的文件編號。

Cox 告訴 TechCrunch，他在向 Practice by Numbers 通報問題時遇到了困難，因為該公司沒有提供明顯的管道來報告安全問題。該公司網站上的電子郵件地址已失效，郵件被退回。隨後，Cox 在 LinkedIn 上給公司的一位創始人發了訊息，但在發送後續郵件後仍未收到任何回音。

這個現已修復的問題凸顯了近期的一個趨勢：一般消費者在公司的產品或網站中發現安全漏洞，卻沒有明確的管道向開發者報告。

今年 4 月早些時候，時尚零售商 Express 修復了一個網站漏洞，該漏洞允許任何人存取其他客戶的訂單詳情和個人資訊；此前一名使用者發現了該漏洞，卻找不到通知公司的方法。去年 12 月，家得寶（Home Depot）也發生了類似事件：一名安全研究人員曾試圖私下提醒該公司，一個安全疏漏已導致其內部系統暴露近一年，但其報告一直被忽視，直到 TechCrunch 聯繫該公司。

鑑於該安全漏洞正主動威脅患者數據的安全，TechCrunch 於 4 月 13 日向 Practice by Numbers 發出了警報。該公司隨後關閉了患者入口網站以修復漏洞，並於 4 月 17 日重新上線。

Practice by Numbers 的共同創辦人兼技術長 Chris Lau 告訴 TechCrunch，公司已修復了該漏洞，並根據伺服器日誌，正在通知不到 10 名因該漏洞導致資訊外洩的患者。

該公司表示，正與受影響的牙科診所合作通知相關患者。Lau 表示，公司尚未發現與該漏洞相關的先前活動證據，這表明 Cox 可能是第一個發現它的人。

Cox 證實該漏洞似乎已經修復。

當 TechCrunch 問及該公司的患者入口網站在發布前是否經過安全審計時，Lau 和 Practice by Numbers 的共同創辦人兼總裁 Rohit Garg 均未作答。公司通常會進行安全審計，以確保其產品符合網絡安全標準，並在客戶開始使用前排除常見的安全缺陷。

雖然沒有任何軟體能完全免於漏洞，但處理敏感資訊（如醫療保健數據）的公司通常會尋求第三方對其代碼進行審查，以清除任何重大的安全缺陷。

當被問及 Practice by Numbers 是否計劃更新其網站，以便讓安全研究人員能通知公司安全漏洞（例如透過漏洞披露計劃）時，Garg 表示公司計劃更新網站以允許人們報告安全問題。該公司未提供具體的時間表。