Veritabanının sahibi, Noida, Uttar Pradesh’te bulunan popüler bir Hint tıbbi teşhis şirketi olan Redcliffe Labs’a aitti.
Siber güvenlik araştırmacısı Jeremiah Fowler, 12 milyondan fazla kayıt içeren, parola korumalı olmayan bir veritabanı keşfetti. Veriler, tıbbi teşhis taramaları, test sonuçları ve diğer tıbbi kayıtlar gibi hassas hasta verilerini içeriyordu. Fowler bulgularını WebsitePlanet’e bildirdi.
Soruşturma sırasında Fowler, tıbbi test sonuçlarının hastaların isimleri, doktor isimleri, sağlıkla ilgili ayrıntılar ve hastanın evde teste tabi tutulup tutulmadığı veya tıbbi tesiste test edilip edilmediği dahil olmak üzere kapsamlı kişisel bilgilerini içerdiğini buldu. Bu belgeler Hintli tıbbi teşhis firması Redcliffe Labs’a aitti.
Veritabanının toplam boyutu 7TB olup yaklaşık 12.347.297 kayıt içeriyordu. 1.180.000 nesne (620.5GB) içeren “Raporlar” olarak işaretlenmiş klasörler vardı. Akıllı Rapor Depolama olarak işaretlenen Belgeler klasöründe 1.164.000 nesne (1,5 GB), Test Sonuçları başlıklı klasörde 6.090.852 nesne (2,2 TB) vardı ve diğer klasörlerde dahili belgeler, PDF’ler, günlükler ve uygulama dosyaları gibi çeşitli belgeler bulunuyordu. Toplamda bu klasörlerde 3.912.445 nesne (2,7 GB) vardı.
Açığa çıkan veritabanı, geniş veri hazinesinin yanı sıra şirketin mobil uygulamasından geliştirme dosyalarını da içeriyordu. Bu dosyalar uygulamanın işlevselliğini ve veri aktarımını kontrol eder.
Bilginize, Redcliffe Labs, 3600’den fazla farklı sağlık ve hastalık testi sunan Hindistan’ın önde gelen tanı merkezleri arasındadır. Redcliffe Labs’ın web sitesine göre tesisin 2,5 milyonluk bir kullanıcı tabanı var. Şirket, Hindistan’ın 220’den fazla şehrinde evde test numunesi toplama hizmetleri sunuyor ve ülke genelinde 2000’den fazla Walk-in Sağlık ve Toplama Merkezine sahip.
Sorumlu açıklama uygulamasını onaylayan Fowler, hızlı bir şekilde yanıt veren şirketle temasa geçti. Folwer’ın blog gönderisine göre veritabanının genel erişimi aynı gün kısıtlandı. Ancak bu veri tabanının ne kadar süreyle açıkta kaldığı ve yetkisiz kişilerin bu veri tabanına erişip erişmediği belli değil.
Bu tür ihlaller, kimlik hırsızlığına, tıbbi sahtekarlığa ve şantajlara maruz kalabilecekleri için hastalar için geniş kapsamlı sonuçlar doğurabilir. Mobil uygulamayla ilgili veriler yanlış ellere geçerse, siber suçlular bu verileri kullanarak siber saldırılar başlatabilir, uygulamanın işlevselliğini bozabilir ve mobil kullanıcıların güvenliğini tehlikeye atabilir.
En büyük risk faktörü, tehdit aktörlerinin kötü amaçlı kod enjekte etmek ve uygulamayı tehlikeye atmak, yetkisiz özellikler eklemek ve kötü amaçlı yazılım eklemek için manipüle edebileceği uygulama kodunun açığa çıkmasıdır. Açığa çıkan kod, güvenlik açıklarını ortaya çıkarmak için uygulamayı değerlendirmek/tersine mühendislik yapmak için kullanılabildiğinden, bu durum milyonları riske atabilir ve bu da daha fazla istismara yol açabilir.
Redcliffe Labs, ilgili makamlara veya etkilenen kişilere veri ifşası konusunda bilgi verip vermediğini açıklamadı. Ayrıca şirketin mobil uygulamasının güvenliğinin ihlal edildiğine veya birisinin hasta verilerine kısıtlama getirilmeden önce eriştiğine dair hiçbir belirti yok. Şirket bu olayla ilgili daha fazla ayrıntı paylaştıktan sonra Hackread.com bir güncelleme yayınlayacak.
Jeremiah Fowler’ın Diğer Bulguları
- Z2U Pazar Sızıntısı Yasadışı Hizmetlere ve Kötü Amaçlı Yazılımlara Erişimi Ortaya Çıkarıyor
- Araştırmacı 300 Alandan Oluşan Kripto Para Dolandırıcılığı Ağını Ortaya Çıkardı
- Brezilya’nın En İyi Eskort Hizmeti Milyonlarca Eskort ve Müşteri Verisini Açığa Çıkarıyor
- Veritabanı Karışıklığı Ortaya Çıkan Kişisel Bilgiler ve 2,3 Milyon Arkadaşlık Uygulaması Kullanıcısının Fotoğrafları
- Büyük CRM Sağlayıcısı Gerçekten Basit Sistemler 3M Müşteri Kayıtlarını Sızdırdı
- Veri Sızıntısı Akreditasyon Kuruluşundan 572 GB Öğrenci ve Fakülte Bilgisini Ortaya Çıkardı
- Yüklenici Veritabanı Sızıntısı, 500 Bin İrlanda Polis Aracına Ele Geçirilen Kayıtları Ortaya Çıkardı