Önemli bulgular
- 17 milyardan fazla kayıt içeren, parola korumalı olmayan bir veritabanı açığa çıktı.
- Sızan kayıtlar arasında isimler, adresler ve iletişim numaraları gibi sağlık hizmeti sağlayıcısı bilgileri yer alıyordu.
- Sızan kayıtlar aynı zamanda tıbbi prosedürler için müzakere edilen fiyatları da içeriyordu.
- Veri sızıntısına Cigna Health’teki bir güvenlik açığı neden oldu.
- Cigna Health, veritabanını güvence altına almak için gerekli adımları attı ve olayı araştırıyor.
Siber güvenlik araştırmacısı Jeremiah Fowler, 17 milyardan fazla şaşırtıcı kayıt içeren, parola korumalı olmayan bir veritabanıyla ilgili endişe verici bir olayı ortaya çıkardı. Kapsamlı kayıtların izi sağlık sigortası sektöründe önemli bir oyuncu olan Cigna Health’e kadar uzanıyordu. Fowler’ın açıkladığı gibi, şirketin şeffaflığı artırma çabası yanlışlıkla bu büyük veri sızıntısına yol açtı.
6,35 terabaytlık devasa miktardaki sızdırılan kayıtlar öncelikle sağlık hizmeti sağlayıcılarının bilgilerinden oluşuyordu. Ayrıntılar arasında hastanelerin ve doktorların adları, konum adresleri, iletişim numaraları ve Ulusal Sağlayıcı Tanımlayıcı (NPI) gibi çeşitli kimlik numaraları yer alıyordu. Daha da önemlisi, bu kayıtlar aynı zamanda tıbbi prosedürler için müzakere edilen fiyatları da açıklıyordu. Ancak ifşa edilen verilerin müşteri veya hasta bilgilerini kapsamadığının açıklığa kavuşturulması önemlidir.
Fowler’ın keşfi, Cigna’nın güvenlik açığını kabul ederek ve savunmasız veritabanını kamu erişiminden korumak için acil önlemler alarak hızlı bir yanıt vermesine yol açtı. Cigna, 2022’den bu yana yürürlükte olan federal düzenlemelere uyan Kapsama Alanında Şeffaflık programına atıfta bulunarak duruşunu savundu.
Özellikle, veritabanında yer alan bilgilerin, düzenleyici gereklilikler nedeniyle kamu erişimine açık olması amaçlanmıştı. Ancak uygun güvenlik önlemlerinin bulunmaması, Cigna’nın daha geniş dahili depolama ağı için potansiyel riskler oluşturuyordu.
Cigna Health’e eşi benzeri görülmemiş bir perde arkası görünümü sunan açığa çıkan veritabanı, şirketin Amerika Birleşik Devletleri’ndeki 50 eyaletin tamamını kapsayan operasyonlarını ayrıntılı olarak anlattı. Cigna Health bireylere, ailelere, işverenlere ve çeşitli hükümet programlarına yönelik bir dizi sağlık sigortası planı sunmaktadır.
Veritabanının yapısı mantıksal olarak organize edilmiş ve kolayca aranabilir nitelikte olup, Mevcut Prosedür Terminolojisi (CPT) kodlarının yanı sıra sağlayıcı kayıtlarını da ortaya çıkarıyordu. Uygun Fiyatlı Bakım Yasası uyarınca, sağlık sigortacıları, şeffaflığı vurgulayarak, üzerinde anlaşılan oranları kamuya açıklama yetkisine sahiptir. Bu açıklamanın potansiyel faydalarına rağmen, bu veri dosyalarının boyutu ve karmaşıklığı, teknik bilgisi olmayan kişiler için etkili bir şekilde gezinmeyi zorlaştırabilir.
Sızan verilere ilişkin güvenlik endişeleri, sağlık hizmeti sağlayıcıları için benzersiz kimlik görevi gören Ulusal Sağlayıcı Tanımlayıcı (NPI) numaralarının potansiyel olarak kötüye kullanılması etrafında dönüyor. Sızan veriler Cigna’nın herhangi bir suiistimaline işaret etmese de, NPI’ler geçmişte Medicare ve Medicaid dolandırıcılığı gibi dolandırıcılık faaliyetleri için kullanılmıştı ve parola korumalı olmayan veritabanları şirketleri fidye yazılımı saldırılarına maruz bırakabilirdi.
İLGİLİ MAKALELER
- Siber güvenlik firması 5 milyar veri ihlali kaydını açığa çıkardı
- DreamHost barındırma şirketi neredeyse bir milyar hassas kaydı açığa çıkardı
- Dünya çapında 10 milyar kayıtla tanımlanan 9.517 güvenli olmayan veritabanı
- Çevrimiçi ticaret komisyoncusu FBS, 16 milyar kayıt içeren 20 TB veriyi açığa çıkarıyor
- Brezilyalı pazar entegratörü Hariexpress 1,75 milyar kaydı ifşa etti