Diş Kliniği Yazılımındaki Güvenlik Açığı Hastaların Tıbbi Kayıtlarını İfşa Etti
2 dk okumatechcrunch
PAYLAS:
İçeriğe Atla
ABD genelinde 5.000'den fazla diş kliniği tarafından kullanılan hasta yönetim yazılımı Practice by Numbers, hastaların özel sağlık kayıtlarını açığa çıkaran kritik bir güvenlik zafiyetini kapattı. Bir hastanın tesadüfen fark ettiği bu açık, kullanıcıların diğer hastaların tıbbi geçmişlerine ve kişisel bilgilerine erişmesine olanak tanıyordu.
Joseph R. Cox adlı bir hasta, diş hekiminin sunduğu portal üzerinden kendi kayıtlarına bakarken bu sorunu fark etti. Cox'un bildirimine göre, hastaların tıbbi belgelerini barındıran bu portal, web adresindeki belge numarasının basitçe değiştirilmesiyle diğer hastaların dosyalarına erişim sağlıyordu.
Sistemin URL yapısındaki belge numaralarının ardışık olarak artması, zafiyetin boyutunu daha da tehlikeli hale getirdi. Bu durum, kötü niyetli kişilerin diğer hastaların tıbbi dosyalarının numaralarını kolayca tahmin etmesine ve kimlik fotoğrafları dahil olmak üzere hassas verilere ulaşmasına zemin hazırlıyordu.
Cox, sorunu Practice by Numbers yetkililerine bildirmeye çalışsa da şirketin web sitesindeki iletişim kanallarının çalışmaması süreci zorlaştırdı. E-postaların iletilememesi ve LinkedIn üzerinden gönderilen mesajlara yanıt alınamaması üzerine Cox, son çare olarak durumu basına bildirdi.
Bu olay, son dönemde son kullanıcıların siber güvenlik açıkları bulduğu ancak bunları geliştiricilere bildirecek net bir yol bulamadığı genel bir endüstri eğilimini yansıtıyor. Yakın zamanda Express ve Home Depot gibi büyük şirketler de benzer krizlerle gündeme gelmişti.
Durumun bildirilmesinin ardından şirket, hasta portalını geçici olarak kapattı ve gerekli yamaları uyguladıktan sonra yeniden erişime açtı. Şirketin kurucu ortağı ve CTO'su Chris Lau, sunucu kayıtlarına göre bu açıktan dolayı 10'dan az hastanın bilgisinin ifşa olduğunu belirtti.
Etkilenen hastaların bilgilendirildiğini açıklayan yetkililer, sistemin piyasaya sürülmeden önce kapsamlı bir güvenlik denetiminden geçip geçmediği sorusunu ise yanıtsız bıraktı. Bu tür olaylar, sağlık verilerini işleyen yazılım şirketlerinin güvenlik standartlarına uymasının ne kadar kritik olduğunu bir kez daha gösteriyor.
--- **İlgili Kaynaklar:** SEO ve GEO eğitim platformu konusunda [GEO eğitim](https://geoakademi.com) ile iletişime geçebilirsiniz.Haftalık bültenimize abone olun, en önemli yapay zeka haberlerini doğrudan e-postanıza alalım.
