New Jersey merkezli bir HealthTech şirketi olan Eshyft’e ait paspas korumalı olmayan bir veritabanı yakın zamanda siber güvenlik araştırmacısı Jeremiah Fowler tarafından keşfedildi.
Veritabanı, 108.8 GB hassas bilgi tutarında 86.000’den fazla kayıt içeriyordu. Bu veri ihlali, kasıtlı kötülükle ilişkilendirilmese de, sağlık sektöründeki sağlam siber güvenlik önlemlerine yönelik kritik ihtiyacı vurgulamaktadır.
Eshyft’in arka planı
ESHYFT, Web Sitesi Planet’in raporuna göre, 29 ABD eyaletindeki sağlık hizmetlerini sağlık çalışanlarıyla birleştiren bir mobil uygulama platformu işletiyor. 
Platform, hemşirelerin programlarına uyan vardiyalar seçmelerine izin vererek tesislere veteriner W-2 hemşirelik personeline erişim sağlıyor.
Uygulama, yalnızca Google Play Store’da 50.000’den fazla indirme ile yaygın olarak kullanılmaktadır. Sağlık endüstrisi giderek dijital platformlara dayandığından, kullanıcı verilerinin korunmasının önemi abartılamaz.
Veri maruziyetinin doğası
Maruz kalan veritabanı, profil görüntüleri, aylık çalışma programları, profesyonel sertifikalar, CV’ler ve kişisel olarak tanımlanabilir bilgiler içeren özgeçmişleri (PII) içeriyordu.
Özellikle, hemşireler tarafından yüklenen tıbbi belgeleri, potansiyel olarak HIPAA düzenlemelerine girerek eksik vardiyalar veya hastalık izni için kanıt olarak da içeriyordu. 
Bu belgeler, teşhisler, reçeteler veya tedavileri içerebilir ve uygunsuz bir şekilde erişilirse önemli bir risk oluşturabilir.
Fowler, ihlali keşfettikten sonra hemen Eshyft’e haber verdi. Şirket, bir çözüm üzerinde çalıştıklarını belirterek bildirimi kabul etti.
Bununla birlikte, veritabanının doğrudan veya üçüncü taraf bir yüklenici tarafından yönetilip yönetilmediği veya tespit edilmeden önce ne kadar maruz kaldığı belirsizliğini korumaktadır.
PII’nin maruz kalması, maaş detayları ve çalışma geçmişleri kimlik hırsızlığı, finansal sahtekarlık veya yüksek hedefli kimlik avı kampanyalarına yol açabilir.
Kimlik belgelerinin taramaları, adreslerle birlikte siber suçlulara bu tür suçları işlemek için yeterli bilgi sağlayabilir.
Ayrıca, veri ayrımının ve şifrelemenin eksikliği, sağlık şirketlerinin proaktif siber güvenlik stratejileri benimsemesini kritik kılmaktadır.
HealthTech şirketleri için öneriler
- Zorunlu şifreleme uygulayın: Yetkisiz erişimi önlemek için hassas veriler her zaman şifrelenmelidir.
- Normal güvenlik denetimleri: Dahili altyapının sıklıkla denetlenmesi, potansiyel güvenlik açıklarını kullanılmadan önce belirlemeye yardımcı olabilir.
- Hassas Veri Depolama Sınırlayın: Veriler yalnızca gerektiği kadar uzun süre saklanmalı ve mümkün olduğunca anonimleştirilmelidir.
- Çok faktörlü kimlik doğrulama (MFA): Kullanıcı kimlik bilgileri tehlikeye atılsa bile kolay erişimi önlemek için hassas bilgileri işleyen uygulamalar için MFA gerekli olmalıdır.
- Veri ihlali yanıt planları oluşturun: Şirketlerin ihlalleri ele almak ve etkilenen taraflarla derhal iletişim kurmak için kapsamlı bir planı olmalıdır.
AWS S3 yanlış yapılandırması nedeniyle sağlık personeli kayıtlarının maruz kalması, sağlık şirketlerinin veri güvenliğine öncelik vermesi için acil ihtiyacın altını çizmektedir.
Sağlık hizmetleri giderek dijital platformlara dayandığından, hem sağlık çalışanlarını hem de tesisleri potansiyel risklerden korumak için hassas bilgilerin korunması çok önemlidir.
Bu tür güvenlik açıklarını azaltmak ve hassas verilerin bütünlüğünü sağlamak için proaktif önlemler ve gelişmiş siber güvenlik protokolleri gereklidir.
Bu bulgular ışığında, Eshyft gibi kuruluşlar veritabanlarını güvence altına almak ve gelecekteki ihlalleri önlemek için sağlam önlemler uygulamak için derhal harekete geçmelidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.