Özel sağlık bilgileri 2006’dan beri erişilebilirdi
4.000’den fazla hastanın özel sağlık bilgileri, bir ABD tıbbi nakil merkezi tarafından 16 yıl boyunca açıkta bırakıldı.
Virginia Commonwealth Üniversitesi Sağlık Sistemi (VCU), hem nakil donörlerine hem de alıcılara ait hassas verilerin 2006’dan beri bir hasta portalında başkaları tarafından görüntülenebildiğini duyurdu.
sağlık kuruluşu söz konusu İsimler, Sosyal Güvenlik numaraları, laboratuvar sonuçları, tıbbi kayıt numaraları ve/veya doğum tarihleri de dahil olmak üzere verilerle ilgili ihlalden 4.441 kişinin etkilendiğini bildirdi.
VCU, bu bilgilerin nakil alıcıları, donörler ve/veya onların temsilcileri tarafından alıcının ve/veya donörün hasta portalına giriş yaptıklarında “görülebilir” olabileceğini söyledi.
keşif
Veri sızıntısı 7 Şubat 2022’de keşfedildi ve ilgili veri türleri hakkında daha fazla bilgi 29 Mart ve 27 Mayıs’ta bulundu.
VCU, gizlilik olayının nasıl gerçekleştiğine dair henüz herhangi bir ayrıntı yayınlamadı, ancak herhangi bir bilginin kötüye kullanıldığına dair bir kanıt bulunmadığını söyledi.
Ile konuşmak Günlük SwigSynopsys Software Integrity Group’ta kıdemli güvenlik danışmanı olan Ashutosh Rana, neler olabileceği konusunda spekülasyon yaptı ve bunun muhtemelen “tipik bir yanlış yapılandırma durumu” olduğunu belirledi.
Rana şunları söyledi: “Bu konudaki sınırlı bilgilere göre, bir hastanın (bağışçı veya alıcı) sistemdeki herhangi bir zayıflıktan aktif olarak yararlanmadan başka birinin verilerine erişebildiği tipik bir tasarım sorunu veya yanlış yapılandırma durumu gibi görünüyor.
En son veri ihlali haberlerinin devamını okuyun
“Herhangi bir kullanıcının başka birinin bilgilerini görmek için giriş yapması yeterliydi çünkü [is] sistemin tasarımına göre böyle olması gerekiyordu.
“Hasta portalı herhangi bir sağlık sisteminin kritik bir parçasıdır, bu nedenle bu kusurun bu kadar uzun süre tespit edilmediğini görmek şaşırtıcı. İşin iyi yanı, herhangi bir hastanın, bir anlamda olayı içeren bu olayın parçası olmak için geçerli bir hesabına (bağışçı veya alıcı) sahip olması gerektiği görünüyor.”
Şunları eklediler: “Bugünlerde birçok sağlık sistemi, SSN, DOB veya diğer PII/PHI gibi hassas bilgilerin varsayılan olarak ya hiç paylaşılmadığı ya da en azından ekranda maskelendiği şekilde tasarlanıyor, ayrıca bunları görüntülemek için ek bir adım gerekiyor- yukarı kimlik doğrulaması.”
VCU sözcüsü söyledi Günlük Swig: “Laboratuvar sonuçları, tıbbi kayıt numaraları, anket tarihleri ve doğum günleri gibi veriler, organ bağışçıları ve alıcıları tarafından potansiyel olarak görüntülenebilirdi. Bağışçılar, varsa yalnızca bir alıcının bilgilerini görebilir.
“Alıcıların görüntülemiş olabileceği bağışçıların sayısı, test edilen potansiyel bağışçıların sayısına bağlıydı.
“Bu olasılık için sigortalıyız ve sorunu çözmek için sigorta kapsamımız aracılığıyla bize sunulan siber güvenlik uzmanlarıyla birlikte çalıştık.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR ABD göz kliniği, 92.000 hastayı etkileyen veri ihlaline maruz kaldı