【编者按】在数字化医疗日益普及的今天，患者数据安全成为公众关注的焦点。最近，一款广泛用于美国牙科诊所的患者管理软件因存在安全漏洞，导致患者隐私记录轻易暴露于他人眼前。令人震惊的是，发现问题的患者试图联系公司却无门路，最终只能求助于媒体。这起事件不仅警示我们医疗软件的安全防线亟待加固，更暴露出企业缺乏透明漏洞反馈机制的严重缺陷。保护患者隐私不应只是一句口号，当普通用户都能轻易破解系统时，开发者的责任与担当何在？请看下文详细报道。

据TechCrunch获悉，开发用于数千家牙科诊所患者管理软件的Practice by Numbers公司已修复了一个安全漏洞，该漏洞曾导致捆绑在软件中的患者门户网站上的私人健康记录被曝光。

患者约瑟夫·R·考克斯在通过其牙医诊所提供的门户网站查看自己的牙科记录时发现了此问题，并向TechCrunch报告了该漏洞。

该患者门户是Practice by Numbers开发的牙科诊所管理软件的一部分，该公司声称其产品被全美5000多家牙科诊所使用。

考克斯表示，这个漏洞允许任何使用该门户的（该门户存放患者的医疗文件和健康记录）访问其他患者的文件。他说自己可以通过自己的账户查看其他患者的文件，包括他们的个人信息、病史、照片身份证和其他档案。这一漏洞也意味着考克斯自己的记录同样对其他患者可见。

考克斯曾试图通过电子邮件提醒公司注意此问题，但未收到回复。最后，他不得已通知了TechCrunch，希望媒体能促使该公司修补漏洞。

任何拥有Practice by Numbers患者门户登录权限的人都可以轻易利用这个漏洞。考克斯说，在门户中加载自己的文档时，只需更改网址中的文档编号，用户就能访问其他患者的文件。

更糟糕的是，考克斯指出，网址中的文档编号似乎是按顺序递增的，因此可以轻松猜出他人医疗文件的编号。

考克斯告诉TechCrunch，他在提醒Practice by Numbers注意问题时遇到了困难，因为该公司没有提供明显的渠道来报告安全问题。公司网站上的电子邮件地址是无效的，发送的邮件会被退回。于是，考克斯向领英上该公司的一位创始人发送了一条消息，但在随后发送邮件后始终没有收到回复。

这个现已修复的问题凸显出一个近期趋势：普通消费者发现公司产品或网站的安全漏洞后，却找不到明确途径向开发者报告。

今年4月初，时尚零售商Express修复了一个网站漏洞，该漏洞曾允许任何人查看其他客户的订单详情和个人信息。此前，一位用户发现了该漏洞，但无从通知公司。去年12月也发生过类似事件：一名安全研究员试图私下提醒家得宝公司注意一个安全漏洞，该漏洞已导致内部系统暴露近一年，但他们的报告一直被忽视，直到TechCrunch联系该公司。

鉴于该安全漏洞正积极危及患者数据，TechCrunch于4月13日向Practice by Numbers公司通报了此问题。该公司关闭了患者门户以修复漏洞，并于4月17日重新上线。

Practice by Numbers的联合创始人兼首席技术官克里斯·刘告诉TechCrunch，该公司已经修复了漏洞，并根据服务器日志，正在通知不到10名信息因漏洞而暴露的患者。

公司表示正与受影响的牙科诊所合作，通知相关患者。刘说，公司尚未发现与漏洞有关的先前活动证据，这表明考克斯很可能是第一个发现该漏洞的人。

考克斯证实，漏洞似乎已被修复。

当TechCrunch询问时，刘和Practice by Numbers的联合创始人兼总裁罗希特·加格都不愿透露该公司的患者门户在发布前是否进行了安全审计。公司通常会进行安全审计，以确保产品符合网络安全标准，并在客户使用前消除常见的安全漏洞。

虽然没有任何软件能完全无漏洞，但处理敏感信息（如医疗数据）的公司通常会聘请第三方审查其代码，以消除主要安全缺陷。

当被问及Practice by Numbers是否计划更新网站，以便安全研究人员通过漏洞披露计划等方式通知公司安全漏洞时，加格表示公司计划更新网站让人们报告安全问题，但未提供时间表。