Hindistan’ın önde gelen teşhis hizmet sağlayıcısı Redcliffe Labs’te, tıbbi teşhis taramaları, test sonuçları ve hasta bilgileri de dahil olmak üzere 12 milyondan fazla sağlık hizmeti kaydının şifre güvenliği olmadan korumasız bırakıldığı önemli bir veri ihlali ortaya çıkarıldı.
Veri hazinesini bulan siber güvenlik uzmanı Jeremiah Fowler, Redcliffe Labs’i uyardı ve ardından firma aynı gün derhal veritabanının güvenliğini sağladı. Bu olay, veri koruma önlemleri ve bu tür hassas kayıtların potansiyel olarak kötüye kullanılması konusunda ciddi endişelere yol açmaktadır.
Redcliffe Labs, diyabet, kanser, genetik testler, HIV, hamilelik ve ek tıbbi alanları kapsayan bir dizi sağlık hizmeti sunmaktadır.
12 Milyon Redcliffe Labs Kaydı Ortaya Çıktı!
Redcliffe Labs’ın veri tabanı yalnızca hasta verilerini değil, aynı zamanda ilgili doktorların adlarını da içeriyordu. Sayıları 12 milyonu aşan kayıtlar, numunelerin hastaların evlerinden mi yoksa doğrudan Redcliffe Laboratuvarlarından mı toplandığını ortaya çıkardı. İhlal, 7 terabaytlık şaşırtıcı bir verinin korumasız kalmasına neden oldu.
Açığa çıkan 7TB Redcliffe Labs veri tabanı toplam 12.347.297 kayıt içeriyordu.
Açığa çıkan Redcliffe Labs kayıtlarındaki diğer ayrıntılar ise şöyle:
- 6 milyondan fazla PDF belgesi içeren test sonuçları adlı bir klasör.
- 620,5 GB tutarında 1.180.000 nesne içeren raporlar.
- 1,5 TB veriye karşılık gelen 1.164.000 nesne içeren başka bir belge seti.
- 2,2 TB tutarında 6.090.852 nesne içeren bir test sonuçları klasörü.
- 2,7 Gb veriye karşılık gelen 3.912.445 nesne içeren çeşitli klasörler.
Çeşitli klasör, PDF dosyaları, dahili iş belgeleri ve geliştirme dosyalarından oluşan bir koleksiyondu. Ayrıca günlük kayıtlarını ve mobil uygulama ayrıntılarını da içeriyordu.
Redcliffe Labs’ın mobil uygulamasının da, teşhis merkezi ile hastalar arasındaki işlevselliği ve veri paylaşımını etkileyecek şekilde kötüye kullanılabileceği ortaya çıktı.
Redcliffe Labs’e 7TB Veri İhlalini Bildirme
Açığa çıkan Redcliffe Labs kayıtlarının keşfine değinen siber güvenlik araştırmacısı, bir raporda şunları yazdı: “Daha ayrıntılı bir incelemenin ardından, belgeler, Redcliffe Labs adlı Hindistan merkezli bir şirkete ait olarak işaretlendi.”
Jeremiah ayrıca, “Hemen sorumlu bir açıklama bildirimi gönderdim ve keşfimi kabul eden ve çabalarım için bana teşekkür eden bir yanıt aldım” diye ekledi.
Açığa çıkan Redcliffe Labs kayıtları, kamu erişimini kısıtlayacak şekilde ayarlar değiştirilerek güvence altına alınmış olsa da, bilgisayar korsanlarının zaten hassas verileri çalıp hastaların kayıtlarını kullanarak sosyal mühendislik saldırıları başlatıp başlatmadıkları belli değil.
Açığa çıkan Redcliffe Labs kayıtlarının ne kadar süre bu şekilde kaldığı bilinmiyor.
Redcliffe Labs, 2018’deki başlangıcından bu yana faaliyetlerini Hindistan genelinde 60’tan fazla laboratuvarı ve 2000’den fazla sağlıklı yaşam ve toplama merkezini kapsayacak şekilde genişletti.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.