'Hemşireler için Uber'da, herkese açık S3 bucket üzerinden 86.000'den fazla tıbbi kayıt ve kişisel tanımlayıcı bilginin açığa çıkması olayı

 (websiteplanet.com)
1 puan yazan GN⁺ 2025-03-14 | 1 yorum | WhatsApp'ta paylaş

Binlerce kayıt, PII dahil, çevrimiçi olarak ifşa oldu

  • New Jersey merkezli sağlık teknolojisi şirketi ESHYFT'in veritabanı parola koruması olmadan açığa çıktı. Şirket, mobil uygulama platformu üzerinden sağlık kuruluşları ile hemşireleri eşleştiriyor.
  • Açığa çıkan veritabanı 86.341 kayıt içeriyor ve toplam boyutu 108,8 GB. Veritabanında kullanıcı profil fotoğrafları, vardiya planı günlükleri, mesleki sertifikalar, çalışma sözleşmeleri ve özgeçmişler yer alıyordu.
  • Bazı belgelerde tanı, reçete ve tedavi bilgileri içeren tıbbi evraklar da bulunuyordu; bu durum HIPAA düzenlemelerinin ihlali anlamına gelebilir.
  • Veritabanının ESHYFT'e ait olduğu görülüyor; keşfin ardından şirkete bildirim gönderildi ve bir ay sonra erişim kısıtlandı.

ESHYFT'in rolü ve önemi

  • ESHYFT, sağlık kuruluşları ile hemşireleri bağlayan bir mobil platform sunuyor ve 29 eyalette faaliyet gösteriyor.
  • Uygulama, hemşirelerin kendi programlarına uygun vardiyaları seçmesine olanak tanırken sağlık kuruluşlarına da doğrulanmış hemşirelik personeli sağlıyor.
  • Google Play Store'da 50.000'den fazla kez indirildi.

Kişisel veri ifşasının riskleri

  • Kişisel tanımlayıcı bilgi (PII), maaş bilgileri ve çalışma geçmişinin açığa çıkması, hem bireyler hem de işveren kurumlar için ciddi riskler ve zafiyetler yaratabilir.
  • Kimlik belgesi, adres ve benzeri bilgiler bir araya geldiğinde siber suçlular kimlik hırsızlığı veya finansal dolandırıcılık gerçekleştirebilir.
  • Açığa çıkan bilgiler, mağdurlardan ek kişisel veya finansal bilgi toplamak için phishing kampanyalarında kötüye kullanılabilir.

Güvenliğin güçlendirilmesi için öneriler

  • Sağlık teknolojisi şirketleri ve sağlık yazılımı sağlayıcıları, veri koruması ve yetkisiz erişimin önlenmesi için proaktif siber güvenlik önlemleri almalı.
  • Hassas veriler için şifreleme protokolleri zorunlu hale getirilmeli ve iç altyapı düzenli güvenlik denetimlerinden geçirilmeli.
  • Hassas veriler mümkün olduğunca anonimleştirilmeli, kullanılmayan veriler için ise saklamayı sınırlamak amacıyla son kullanma tarihi belirlenmeli.
  • Kullanıcı kimlik bilgilerinin açığa çıkması durumunda bile erişimin kolay olmaması için çok faktörlü kimlik doğrulama (MFA) zorunlu tutulmalı.
  • Veri ihlali müdahale planları ve güvenlik olaylarının bildirimi için özel iletişim kanalları oluşturulmalı.

Sonuç

  • Veri ihlali yaşandığında, etkilenebilecek tüm kişilere hızlı ve sorumlu bir bildirim sağlanmalı.
  • Kullanıcılar, phishing girişimlerini nasıl tanıyacakları konusunda eğitilmeli; bu hem hizmet sağlayıcıların hem de kullanıcıların yararınadır.
  • Bu rapor eğitim amaçlı hazırlanmıştır ve gerçek veri bütünlüğünün bozulduğunu yansıtmaz.

İlgili okumalar

1 yorum

 
GN⁺ 2025-03-14
Hacker News yorumu
  • Yakın zamanda bir şirket hakkında duydum; hizmet sunmadan önce kredi raporları üzerinden kişinin borç düzeyini tespit ediyor ve buna göre saatlik ücreti düşürüyorlarmış
    • Eğer bu tür ihlallerin olumsuz sonuçları olacaksa, bunun bedelini fazlasıyla ödemeliler
  • Gizlilik politikalarının veri güvenliği bölümünde şunlar yazıyor
    • Topladığımız ve muhafaza ettiğimiz bilgilerin bütünlüğünü ve güvenliğini artırmak için belirli fiziksel, idari ve teknik önlemler kullanıyoruz
    • Hiçbir güvenlik önlemi kusursuz ya da aşılamaz değildir
    • HIPAA’da tanımlanan korunan sağlık bilgisi olarak değerlendirilebilecek bilgileri depolamak veya korumak üzere tasarlanmamıştır
    • Sistemin HIPAA uyumlu olarak tasarlanmadığını öne sürerek sorumluluktan kaçıp kaçamayacaklarını merak ediyorum
  • İnsanlar, sağlık profesyonellerinin sahip olduğu otorite düzeyi yüzünden kafaları karışmış durumda
    • Doktorlara veya hastanelere sosyal güvenlik numaranızı asla vermemelisiniz
    • Kimlik doğrulama istemeleri, belgeyi taramaları ya da fotoğrafını çekmeleri gerektiği anlamına gelmez
    • Doktorlar ve hastaneler bilgi güvenliği konusunda son derece zayıf
  • Sağlık sektörü genel olarak çok sorunlu
    • Ucuz ve şirket sahipliğindeki hastaneler hemşireleri kadrolu olarak işe almıyor
    • Ucuzluk, hastaneleri bu uygulamaya yöneltti ve bunu onaylayan yöneticilere geri ödeme/komisyon sağlamış olmaları muhtemel
    • ESHYFT iflas etmeli ama muhtemelen hiçbir şey olmayacak
  • S3 bucket’ın ne kadar eski olduğunu merak ediyorum
    • AWS, yeni S3 bucket’larını varsayılan olarak özel ayarladı
    • Muhtemelen eskiydi ya da mobil uygulama/hizmetten dosya yükleyip indiremeyince pervasızca açtılar
  • AWS’yi suçlayıp suçlamamamız gerektiğini merak ediyorum
    • Arkadaşlar için gece 3’te alelacele bir şeyler hacklerken uygulanan güvenlik prosedürleri, PII barındıran ürünler için geçerli olmamalı
    • Temel veri güvenliğini uygulamak kullanıcının sorumluluğunda
  • Neden başlıkta gerçek şirket adı yerine "Uber for nurses" ifadesini kullandıklarını merak ediyorum
  • Hâlâ işleyen bir düzenleyici kurum varmış gibi davranıp bu konuda adım atabileceklerini mi varsayıyoruz diye merak ediyorum
  • Sağlık teknolojisi alanında çalıştım; bu gerçekten çok ciddi bir mesele
    • Hasta kaydı başına ceza kesilir ve bu ucuz değildir
    • Bu, bir "utanç duvarına" çıkmak gibidir ve gelecekte iş yapabileceğiniz kişiler bunu görebilir
    • Hata yaparsanız şahsen sorumlu tutulabilirsiniz
    • Önceki işimde PII’nin API üzerinden geçmemesini sağladık ve bunu sistemden tamamen ayrı bir VPS’te tuttuk
    • Kayıtlara ihtiyaç duyulduğunda onları bir S3 bucket’ına koyup yalnızca çağıranın erişebileceği geçici bağlantı sağlıyorduk
    • Çok zahmetliydi ama kafamız rahat uyuyabiliyorduk
  • Tutku gerektiren mesleklerin en düşük ücretli / en fazla aşırı çalıştırılan işler olduğuna dair bir araştırma makalesi okumuştum
    • Örn: öğretmenler, hemşireler, müzisyenler, sporcular