日本の医療 Q&A サイト Doctors Me がおよそ 30 GB の顧客データを格納した Amazon S3 バケットを誤設定で公開状態にしていたと、発見したセキュリティ情報サイトの SafetyDetectives が報告している (SafetyDetectives のニュース記事、 HackRead の記事)。

Doctors Me は匿名でヘルスケアの専門家に直接相談できる Q&A サイトで、症状の写真をアップロードすることも可能だ。公開状態になっていたバケットは発見時にも更新が続けられており、ファイル 30 万点以上、患者の写真およそ 12,000 点が含まれていたという。写真は相談者が本人や家族の症状を撮影したもので、顔面を撮影したものは子供の写真が中心とのこと。少数ではあるが、動物の写真も含まれていたそうだ。SafetyDetectives ではこのトラブルで患者のプライバシーが侵害されただけでなく、脅迫の材料となる可能性や、未成年者のプライベートな写真が捕食者間で流通する可能性を指摘している。

SafetyDetectives は昨年 11 月 11 日に問題を発見し、同日 Doctors Me に通知している。反応がなかったのか、11 月 21 日には Doctors Me に加えて JPCERT/CC にも連絡。以降は JPCERT/CC を通じたやり取りになり、今年 1 月 11 日になって AWS に連絡したと通知を受けたとのことだ。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 医療 | インターネット | 情報漏洩 |

関連ストーリー：
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
gmailをgmaiと誤入力して新入生135人の個人情報が流出。京都市立芸術大 2021年04月02日
埼玉県、新型コロナ感染者の個人情報を誤って公開。5時間以上もの間 2021年01月27日
福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も 2021年01月07日
香川県警、容疑者名や事件の被害状況を誤って折込チラシで配達 2020年04月14日
プライベートを月20万で買うことを募集した企業、複数の応募者のメールアドレスをCCに入れて落選連絡メールを送信し漏洩させる 2019年11月19日
注文履歴などの誤表示でAmazon.co.jpに行政指導、被害件数は11万件 2019年10月16日
LINE傘下のLINE Credit、担当者が誤って個人情報を含むExcelファイルをオープンチャットに投稿 2019年09月24日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 2017年11月22日
ネスレ曰く、Anonymous がリークだと主張する 10 GB のデータはダミーデータ 2022年03月26日