Practice by Numbers, binlerce dişçide kullanılan hasta yönetim yazılımının geliştiricisi, yazılımla birlikte gelen bir portalda hastaların özel sağlık kayıtlarını açığa çıkaran bir güvenlik açığını düzeltti. TechCrunch’ın edindiği bilgilere göre, hasta Joseph R. Cox, kendi diş kayıtlarını incelerken bu sorunu fark ederek TechCrunch’a bildirdi.
Bu hasta portalı, Practice by Numbers’ın geliştirdiği diş ofisi yönetim yazılımının bir parçası. Şirket, ürünlerinin ABD’de 5.000’den fazla diş pratiği tarafından kullanıldığını iddia ediyor.
Cox’a göre, açığın varlığı, portalın kullanıcılarının, diğer hastalara ait belgeleri görüntüleyebilmesine neden oldu. Kendi hesabından farklı hastalara ait belgeleri erişim sağladığını, bunun içerisinde kişisel bilgiler, tıbbi geçmişler, fotoğraflı kimlikler ve diğer dosyaların bulunduğunu belirtti. Bu durum, Cox’un kendi kayıtlarının da diğer hastalar tarafından görünür hale gelmesine yol açtı.
Cox, durumu şirkete bildirmek için e-posta göndermeye çalıştı fakat geri dönüş alamadı. Son çare olarak TechCrunch’a başvurdu ve açığın kapatılmasını istedi.
Açık, Practice by Numbers’ın hasta portalına giriş yapmış herhangi bir kullanıcı tarafından kolayca istismar edilebiliyordu. Cox, portalda bir belgesini açarken web adresindeki belge numarasını değiştirerek, diğer hastalara ait dosyalara erişim sağladığını ifade etti.
Daha kötü bir durum da, belge numaralarının web adresinde sıralı bir artış göstermesi nedeniyle, başkalarına ait tıbbi dosya numaralarının tahmin edilmesinin oldukça kolay olmasıydı.
Cox, Practice by Numbers’a durumu bildirmek için çaba sarf ettiğini ancak şirketin güvenlik sorunlarını bildirecek bir yol sunmadığını belirtti. Şirketin web sitesindeki e-posta adresi çalışmıyordu, iletiler geri dönüyordu. Bunun üzerine, şirketin kurucularından birine LinkedIn üzerinden bir mesaj gönderdi ama ardından gönderdiği bir başka e-postaya da yanıt alamadı.
Şimdi düzeltilen sorun, sıradan tüketicilerin şirketlerin ürünlerinde veya web sitelerinde güvenlik açıkları bulma eğiliminin arttığını ve bu tür sorunları geliştiricilere bildirmek için belirgin bir yol bulamadıklarını ortaya koyuyor.
Nisan ayının başlarında, moda perakendecisi Express, bir kullanıcı tarafından tespit edilen ve diğer müşterilerin sipariş detaylarına ve kişisel bilgilerine erişim sağlayan bir web sitesi hatasını düzeltti, ancak bu kullanıcı sorunu şirketle bildirecek bir yol bulamamıştı. Benzer bir olay, Aralık ayında Home Depot ile yaşandı; bir güvenlik araştırmacısı, şirketin iç sistemlerine erişimi açığa çıkaran bir güvenlik açığını gizlice bildirmek istedi ancak TechCrunch şirketle iletişime geçene kadar raporları görmezden gelindi.
Güvenlik açığı, hastaların verilerini aktif olarak tehlikeye atıyordu. TechCrunch, 13 Nisan’da Practice by Numbers’a durumu bildirdi. Şirket, açığı kapatmak için hasta portalını devre dışı bıraktı ve 17 Nisan’da tekrar çevrimiçi hale getirdi.
Practice by Numbers’ın kurucu ortağı ve CTO’su Chris Lau, güvenlik açığının düzeltildiğini ve açığın tespit edilmesi nedeniyle 10’dan az hastanın bilgilerinin ifşa olduğunu TechCrunch’a bildirdi. Şirket, etkilenen diş pratiği ile işbirliği yaparak etkilenen hastaları bilgilendirme sürecinde olduğunu açıkladı. Lau, daha önce bu açığa ilişkin herhangi bir kanıt bulamadıklarını ve Cox’un muhtemelen bunu bulan ilk kişi olduğunu belirtti.
Cox, açığın düzeltildiğini doğruladı.
TechCrunch’a yapılan açıklamada, Lau ya da Practice by Numbers’ın kurucu ve başkanı Rohit Garg, şirketin hasta portalının lansmandan önce bir güvenlik denetiminden geçip geçmediğini belirtmedi. Şirketlerin genellikle ürünlerinin siber güvenlik standartlarını karşıladığını ve kullanıcılarının kullanmaya başlamadan önce yaygın güvenlik açıklarından arındırıldığını sağlamak için güvenlik denetimlerinden geçtiği biliniyor.
Texnomers.com’a göre, hassas bilgilerle çalışmakta olan şirketlerin, büyük güvenlik açıklarını ortadan kaldırmak için genellikle üçüncü partilerden kodlarının gözden geçirilmesini talep ettikleri biliniyor.
Practice by Numbers’ın güvenlik araştırmacılarının güvenlik açıklarını bildirebilmeleri için web sitesini güncelleyip güncellemeyeceği sorulduğunda, Garg, şirketin güvenlik sorunlarını bildirmek için web sitesini güncellemeyi planladığını ancak bir zaman çizelgesi veremediğini söyledi.
Hastalarının verilerinin güvenliğini sağlamak için şirketlerin ne gibi önlemler alması gerektiğini düşünüyorsunuz?
