AIIMS portalında kritik bir güvenlik açığı, Organ Alım Bankacılığı Organizasyonu’na (ORBO) kayıtlı gönüllü organ ve doku bağışçılarının son derece hassas verilerini ortaya çıkarmıştır. AIIMS portal güvenlik açığı, Hindistan’daki bağışçıların kişisel olarak tanımlanabilir ve tıbbi bilgilerine yetkisiz erişime izin verdi. Bu güvenlik açığı, 2025 Mayıs ortalarında bağımsız siber güvenlik araştırmacısı Aniket Tomar tarafından keşfedildi. Orbo, All India Tıp Bilimleri Enstitüsü (AIIMS), Yeni Delhi’nin önemli bir tesisidir.
AIIMS portal güvenlik açığı, açılmamışsa, veri gizliliğini, kamu güvenini ve ulusal dijital sağlık altyapısının güvenliğini ciddi şekilde zayıflatma potansiyeline sahipti.
AIIMS’deki kadavra organı ve doku bağış aktiviteleri için düğüm gövdesi olarak Orbo, bir beyin ölüm donörü sicilini sürdürür ve nakilleri koordine ederek maruz kalan verileri özellikle hassas hale getirir.
AIIMS portal güvenlik açığı ve veri maruziyetinin kodunu çözme
Tomar’a göre, araştırması AIIMS portalındaki güvenlik açığının, tam isimler, konut adresleri, telefon numaraları, e -posta adresleri, kan grupları, bağışlanan organlar, dokular, donör yaşı ve hatta tanık bilgileri de dahil olmak üzere çok sayıda özel veriye sınırsız erişim sağladığını ortaya koydu. Bu verilere herhangi bir kimlik doğrulama şekli olmadan erişilebilir.
Tomar, Hindu’ya verdiği demeçte, “Birkaç lakh donör girişini görebildim. Veriler sadece Delhi’den değildi – girişler Hindistan’daki birden fazla bölgeden gelen bağışçıları kapsıyor” dedi. “Maruz kalmanın kapsamı, tanınmış bir sağlık kurumuna güvenlerini etkileyen bireyleri etkileyen ülke çapında bir veri ihlaline işaret ediyor.”
Maruz kalan en kritik veri alanları arasında:
- Şahsen tanımlanabilir bilgiler (PII): Tam adlar, cep telefonu numaraları, e -posta adresleri, konut adresleri.
- Tıbbi Bilgi: Bağışlanmış organlar, kan türleri, dokular ve donör yaşı.
- Tanık Ayrıntıları: Bağış sürecine tanıkların temas ve tanımlama bilgileri.
Cert’in müdahalesi ve düzeltmesi
Tomar, konuyu derhal bilgisayar acil müdahale ekibine (sertifika-in) bildirdi (POC) ve kusuru düzeltme önerileri. E -postasında, ihlalin sadece kişisel bilgileri tehlikeye atmakla kalmayıp aynı zamanda Dijital Kişisel Veri Koruma (DPDP) Yasası, 2023’ü de ihlal ettiğini vurguladı.
Tomar, “Bu sadece teknik bir sorundan daha fazlasıdır – bu etik bir atlamadan daha fazlasıdır – bu etik bir atlamadır. En yüksek gizlilik ve veri yönetimini bekleyen organ bağışçılarını etkiler. Dijital sağlık platformlarına halkın güvenini kabul edilmemelidir.
Tomar’ın açıklamasının ardından Cert sorunu kabul etti ve kusuru çözmek için AIIMS ile çalıştı. 18 Haziran 2025’e kadar, güvenlik açığı başarıyla hafifletildi ve hassas verilere halka açık erişim engellendi. Cert, Tomar’a sorumlu açıklaması için resmi olarak teşekkür etti.
Çözüm
Tomar, AIIMS ve diğer hükümet organlarını dijital sağlık platformlarını benzer güvenlik açıkları için denetlemeye ve DPDP Yasası’nın gerektirdiği şekilde etkilenen bireyleri derhal bilgilendirmeye çağırdı. Şahsen tanımlanabilir bilgilerin, özellikle sağlık hizmetlerinde, kamuya açık sistemlerde asla ortaya çıkmaması gerektiğini vurguladı.