ABD genelinde 5 binden fazla diş kliniği tarafından kullanılan Practice by Numbers yazılımında tespit edilen kritik bir güvenlik açığı, binlerce hastanın kişisel ve tıbbi verilerini savunmasız bıraktı. Yazılımın sunduğu hasta portalındaki bir hata, kullanıcıların sadece kendi dosyalarına değil, başkalarına ait hassas belgelere de kolayca ulaşmasına olanak tanıyordu.
Basit Bir URL Değişikliğiyle Erişim Sağlandı
Güvenlik açığını fark eden Joseph R. Cox isimli bir hasta, kendi kayıtlarını görüntülerken sistemdeki hatayı keşfetti. URL adresindeki belge numarasını değiştirerek diğer hastaların tıbbi geçmişlerine, fotoğraflı kimliklerine ve özel sağlık bilgilerine erişebildiğini gören Cox, durumu şirkete bildirmeye çalıştı ancak başarısız oldu.
İletişim Kanalları Kapalıydı
Şirketin web sitesindeki e-posta adreslerinin çalışmaması ve sosyal medya üzerinden yapılan girişimlerin sonuçsuz kalması, güvenlik açıklarının bildirilmesi konusundaki eksiklikleri bir kez daha gözler önüne serdi. Durumu basın kuruluşlarına taşıyan Cox, ancak bu sayede şirketin harekete geçmesini sağlayabildi. Practice by Numbers, 13 Nisan'da gelen uyarı sonrası portalı geçici olarak erişime kapattı ve 17 Nisan'da yamayı tamamlayarak sistemi yeniden devreye aldı.
Şirketten Açıklama: "10'dan Az Hasta Etkilendi"
Şirketin CTO'su Chris Lau, sunucu kayıtlarına dayanarak 10'dan az hastanın bilgilerinin açığa çıktığını iddia etti. Ancak, yazılımın piyasaya sürülmeden önce herhangi bir güvenlik denetiminden geçip geçmediği sorusu yanıtsız bırakıldı. Uzmanlar, sağlık verisi gibi hassas bilgilerle çalışan şirketlerin, üçüncü taraf güvenlik denetimlerini zorunlu tutması gerektiği konusunda hemfikir.
