Десятки тисяч записів співробітників Stanford Health Care (SHC) і Hillsboro Medical Center (HMC) опинилися у відкритому доступі через халатність підрядника Perfectshift, який не захистив базу даних MongoDB. Уразливість виявили дослідники Cybernews, які попередили компанію ще в серпні, але база залишалася відкритою до кінця жовтня.
Команда Cybernews Research у серпні 2025 року виявила незахищену базу даних MongoDB, що належала Perfectshift — сервісу керування робочими змінами у сфері охорони здоров’я. У ній містилися чутливі дані працівників і підрядників двох медичних закладів: Stanford Health Care, афілійованого зі Стенфордською медичною школою, та Hillsboro Medical Center в Орегоні.
База включала понад 50 000 записів, серед яких:
повні імена працівників,
корпоративні електронні адреси,
хешовані паролі (bcrypt, cost 10),
IP-адреси,
cookie-сесії,
токени авторизації,
а також платіжні дані та відомості про браузери.
Дані не були зашифровані чи захищені автентифікацією. Дослідники попередили Perfectshift 21 серпня, CERT — 3 вересня, а витік закрили лише 30 жовтня.
Експерти попереджають, що через оприлюднення токенів і сесій можлива компрометація облікових записів співробітників, а також подальші атаки типу phishing і credential stuffing. Зловмисники могли скористатися доступом для бокового руху в мережі чи перепродати доступ ransomware-групам.
На щастя, у базі не виявлено медичних даних або PHI (Protected Health Information), однак навіть робочі облікові записи становлять потенційну небезпеку для систем охорони здоров’я, які залишаються вразливими до збоїв і атак.
Perfectshift — сторонній постачальник IT-послуг для управління персоналом у сфері медицини. Подібні компанії часто оперують великими масивами неструктурованих даних, використовуючи MongoDB, що робить їх потенційною мішенню для атак.
Основна проблема, кажуть аналітики, у людському факторі: бази даних часто залишаються незахищеними через відсутність автентифікації або помилки конфігурації. Такий випадок — чергове нагадування, що навіть у сфері з найвищими вимогами до конфіденційності (як медицина), захист даних підрядників може стати слабкою ланкою.
Витік Perfectshift підкреслює критичну важливість контролю доступу до баз даних і перевірки кібергігієни сторонніх постачальників. Навіть за відсутності пацієнтських даних, інформація про працівників медичних установ може стати інструментом соціальної інженерії та вторгнень у корпоративні мережі. Для організацій на кшталт Stanford Health Care це ще одне нагадування: безпечна екосистема починається з найменшого вузла.
