Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri , Sektöre Özel
Araştırmacı, Hintli Test Firması Redcliffe Labs’in Maruz Kalmayı Hızla Düzelttiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
25 Ekim 2023
Güvenlik açığını bulan güvenlik araştırmacısına göre, Hindistan merkezli bir tıbbi laboratuvarın güvenli olmayan veri tabanı, yakın zamanda 12 milyondan fazla test sonucunu, diğer hasta kayıtlarını ve şirketin mobil sağlık uygulamasına ait geliştirme dosyalarını açığa çıkardı. Redcliffe Labs sorunu çözdü.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Güvenlik hizmetleri firması Security Discovery’den araştırmacı Jeremiah Fowler, olay hakkında Çarşamba günü yayınlanan bir raporda, açığa çıkan 7 terabaytlık veri tabanının, Redcliffe Labs’e ait olduğu işaretlenen belgelerle birlikte 12,3 milyondan fazla kayıt içerdiğini söyledi.
Noida, Uttar Pradesh merkezli bir tıbbi teşhis test firması olan Redcliffe Labs, kendisini 220’den fazla şehirde ve 2,5 milyondan fazla hastaya hizmet veren ve 2030 yılına kadar 500 milyondan fazla insana “glikozdan genetiğe kadar uzanan testlerle” hizmet etme “misyonuyla” tanımlıyor. “
Fowler, Information Security Media Group’a, ifşa edilen Redcliffe veritabanına “herhangi bir özel araç olmadan erişilebildiğini” söyledi. “Bireysel dosyalar bir web tarayıcısında görülebilir ve veritabanının kendisi, üçüncü taraf bir açık kaynak görüntüleyici veya bulut hizmet sağlayıcısı tarafından ücretsiz olarak sağlanan yerel görüntüleyici kullanılarak görülebilir” dedi.
Fowler, Redcliffe veritabanının ne kadar süre boyunca korumasız kaldığını tam olarak belirlemediğini ve Redcliffe’in açığa çıkan veri dosyalarına bilgisayar korsanları da dahil olmak üzere yetkisiz kişiler tarafından erişilip erişilmediğini veya bu dosyaların ele geçirilip geçirilmediğini bilmediğini söyledi. Fowler, Redcliffe’i ifşa konusunda bilgilendirdiğini ve şirketin sorunu hızla çözdüğünü söyledi.
ISMG’ye “Keşfettiğim andan itibaren, nihayet güvenlik altına alınana kadar en az birkaç gün açıktı. Bu kadar çok zaman önemli bir risk oluşturuyor” dedi.
Fowler, Redcliffe’i son keşif konusunda uyardıktan sonra şirketin araştırmacıya “teşekkür ettiğini” ve aynı gün kamu erişimini kısıtladığını söyledi.
Fowler, “Veritabanı, hastaların adlarını, doktorları (test örneğinin evde mi yoksa tıbbi bir tesiste mi yapıldığını) ve çok çeşitli diğer hassas sağlık bilgilerini içeren çok sayıda tıbbi test sonucunu içeriyordu” diye yazdı.
Parolasız veri tabanında yer alan veriler arasında, tıbbi teşhis taramaları, test sonuçları ve belirsiz sayıda hastanın diğer potansiyel olarak hassas tıbbi kayıtları da dahil olmak üzere 6 milyondan fazla PDF belgesini içeren “test sonuçları” adlı bir klasörün bulunduğunu söyledi.
Fowler, ISMG’ye, gördüğü Redcliffe tıbbi kayıtlarının gençlerden yaşlılara kadar her yaştan hastayı kapsadığını söyledi. “Ancak web sitelerinde doğum öncesi ve pediatrik test hizmetleri de sundukları belirtiliyor. Dolayısıyla her yaştan etkilendiğini söylemek yanlış olmaz.”
Fowler, veritabanının hasta kayıtlarına ek olarak Redcliffe’in mobil uygulamasından geliştirme dosyalarını da içerdiğini söyledi. “İfşa edilen uygulama dosyaları, yanlış ellere geçtiğinde önemli bir risk teşkil edebilir. Bu dosyalar, bir uygulamanın işlevselliğini ve hatta kullanıcıdan ana sunucuya iletilen verileri bile kontrol eder” dedi.
“Kötü niyetli aktörler potansiyel olarak bu bilgileri veya dosyaları çeşitli siber saldırılar gerçekleştirmek ve kullanıcı verilerini, uygulama işlevselliğini veya mobil cihazın güvenliğini tehlikeye atmak için kullanabilir.”
Hindistan’ın Ağustos ayında yürürlüğe giren yeni gizlilik yasası 2023 Dijital Kişisel Verileri Koruma Yasası uyarınca şirketlerin, veri ihlalinin tanımlanıp doğrulanmasından sonraki 72 saat içinde yetkililere rapor vermesi ve etkilenen bireyleri veri ihlalinin niteliği ve boyutu hakkında bilgilendirmesi gerekiyor.
Redcliffe Laboratuvarının Yanıtı
Redcliffe Labs CTO’su Pabhat Pankaj, ISMG’ye yaptığı açıklamada Fowler’in araştırması hakkında ek ayrıntı veya yorum sunmadı ancak şirketin veri ihlaline uğradığını reddetti.
Pankaj, şirketin altyapısının müşteri verilerini “en üst düzeyde” güvence altına alacak şekilde oluşturulduğunu söyledi. “Laboratuvarımızda ve diğer BT ortamlarımızda, üretim dışı ortamlarda bile BT altyapısını güvence altına almak için özel güvenlik duvarları uyguladık. Bu aynı zamanda Redcliffe Laboratuvarlarında herhangi bir veri ihlali yaşanmamasını da ele alıyor” dedi. söz konusu.
“Bizim için güvenlik yalnızca nihai sonuçla ilgili değil; süreçteki her adımla ilgilidir.” Redcliffe veritabanları kullanımda değilken şifreleniyor ve “özel VPC’lerde saklanıyor, bu da onları kimlik bilgileriyle bile halka erişilemez hale getiriyor” dedi.
“Güvenliğe olan bağlılığımız, uç nokta koruması, güvenlik açığı değerlendirmeleri, bulut güvenliği ve veritabanı şifrelemesini içeren sağlam bir güvenlik çerçevesiyle kanıtlanıyor” dedi.
Pankaj, Redcliffe’in “zaman zaman çeşitli bilgi güvenliği kontrollerinden, VAPT’den ve diğer bağımsız üçüncü taraf değerlendirmelerinden geçtiğini ve en son denetimin Eylül 2023’te tamamlandığını söyledi. İçiniz rahat olsun, siber güvenliğe olan bağlılığımız sarsılmaz ve yatırım yapmaya devam ediyoruz.” Müşterilerimizin bilgilerini korumak için en son teknoloji.”
Potansiyel risk
Fowler, tıbbi kayıtları açığa çıkan Redcliffe hastalarına yönelik potansiyel gizlilik sorunları ve siber suç risklerinin yanı sıra, güvenli olmayan Redcliffe mobil uygulama dosyalarının da oldukça endişe verici olduğunu iddia ediyor.
Raporunda “Olası en büyük risklerden biri uygulamanın kod dosyalarının manipülasyonu veya değiştirilmesidir” dedi. “Dosyalar, siber suçluların uygulamanın bütünlüğünü ve güvenliğini tehlikeye atmasına, kötü amaçlı yazılım yerleştirmesine veya başka yetkisiz işlevler eklemesine olanak tanıyacak kötü amaçlı kod yürütmeyi içerecek şekilde düzenlenebilir.”
Saldırganların manipüle edilmiş kodu, potansiyel olarak testler, taramalar veya diğer hassas bilgiler de dahil olmak üzere hastanın özel verilerine müdahale etmek veya bunlara erişmek için kullanabileceğini söyledi. “Ek olarak, açığa çıkan kod veya kaynak dosyaları, varsayımsal olarak, uygulamanın nasıl çalıştığını görmek amacıyla uygulamaya tersine mühendislik uygulamak, analiz etmek veya kaynak koda dönüştürmek için kullanılabilir. Bu muhtemelen daha sonra istismar edilebilecek ek güvenlik açıklarının ve zayıflıkların belirlenmesine yol açabilir.”
Aşama kaydetmek?
Fowler daha önce benzer şekilde açığa çıkan veritabanları hakkında diğer kuruluşları keşfetmiş ve uyarmıştı; bu yaz, Güney Bağımsız Okullar Birliği’nin korumasız bir veri tabanının dahil olduğu ve 16 eyalette bağımsız okul öğrencilerinin ve öğretim üyelerinin yaklaşık 700.000 hassas kaydını etkileyen bir olay da dahil (bkz:: 700.000 Duyarlı Öğretmen ve Öğrenci Kaydı Web’de Ortaya Çıktı).
Ancak Fowler, Redcliffe olayının “bir güvenlik araştırmacısı olarak yaklaşık on yıldır gördüğüm en büyük sağlık hizmeti ihlallerinden biri” olduğunu söyledi.
Redcliffe’de sunulan test sonuçları aralığının, daha uzmanlaşmış test laboratuvarlarından çok daha geniş olduğunu söyledi. “Redcliffe Labs, yüzlerce lokasyonda 3.600 farklı test sunarak, verilerin kapsamının ne kadar geniş olduğuna dair bir Pandora kutusu yaratıyor” dedi.
Bu ölçeğe ulaşan olaylar “çok az ve günümüzde çok uzak”. dedi. Fowler, “Genel olarak sektör, siber güvenlik ve veri korumasına yatırım yaparak daha iyi bir iş çıkarmak için gerekli adımları attı.” dedi.