Bulut güvenliği, veri ihlali bildirimi, veri güvenliği
Araştırmacı, 1.864 GB ortominds verisi içeren teminatsız veritabanı sunucusu buldu
Marianne Kolbasuk McGee (Healthinfosec) •
21 Mart 2025
Bulut tabanlı ortodontik uygulama yazılımı satıcısı, verilerinin geçen Kasım ayında 10 gün boyunca internete maruz kaldığını açıklamayan sayıda hastaya bildiriyor. Ancak teminatsız veritabanını keşfeden güvenlik araştırmacısı, maruziyetin bundan daha uzun sürdüğünü ve en az 200.000 hastayı etkilediğini iddia ediyor.
Ayrıca bakınız: CDSS’nin Forrester Toplam Ekonomik Etkisi ™
Gürcistan merkezli ortominds, Perşembe günü yayınlanan bir açıklamada, veri güvenliği ihlalinden potansiyel olarak etkilenen müşterileri ve bireyleri bilgilendirdiğini söyledi.
Şirket, “Kasım 2024’te Orthominds, ağ ortamında potansiyel bir olayı öğrendi. Keşif üzerine Orthominds, iyileştirme çabaları da dahil olmak üzere bu potansiyel olayın doğası ve kapsamı hakkında bir soruşturma başlattı.” Dedi. Orthominds’in araştırması, belirli veritabanlarında depolanan dosyaların ve klasörlerin 17 Kasım ve 27 Kasım 2024 arasında organizasyonu dışındaki diğer kişiler için erişilebilir olabileceğini belirledi.
Şirket, “Sonuç olarak, ortominds, devam eden erişim potansiyelini önlemek için düzeltildi ve hassas bilgilerin etkilenip etkilenmediğini belirlemek için bu dosyaların ve klasörlerin kapsamlı bir incelemesini başlattı.” Dedi.
Potansiyel olarak tehlikeye atılan bilgiler arasında isimler, doğum tarihleri, tıbbi bilgiler, sağlık sigortası bilgileri, ödeme kartı bilgileri ve sosyal güvenlik numaraları bulunmaktadır.
Ancak, güvensiz verileri keşfeden ve geçen Kasım ayında bulguları hakkında bilgilendiren güvenlik araştırmacısı, bilgi güvenliği medya grubuna veritabanlarını içeren sunucunun en azından Ekim 2024’ten beri daha uzun olmasa da maruz kaldığını söyledi.
Yetkili, potansiyel olarak yüzlerce ortomind müşterisinin ve 200.000’den fazla hastanın maruziyetten etkilendiği anlaşılıyor.
Jayeltee tutamağından geçen araştırmacı, Ocak ayında Orthominds keşfi hakkında bir rapor yayınladı. Jayeltee, ISMG’ye maruz kalan veriler için milyonlarca uç noktayı izlediğini ve “tüm” önemsiz “arasında rapor verilecek şeyler bulmaya” denediğini söyledi.
“23 Ekim 2024 civarında, bu sunucu, kimlik doğrulaması olmayan dosyaların listelenmesine izin verdiği için yüzlerce başka sunucu ile birlikte günlüklerimde ortaya çıktı.” Dedi. “Sadece Kasım 2024’te nihayetinde neyin maruz kaldığını görmek için bu sunucuya baktım ve daha sonra şirketle iletişime geçti. Bu nedenle, sunucu en azından Ekim 2024’ten beri maruz kaldı.”
Jayeltee, Ocak ayında raporunda, Kasım 2020’den Ekim 2024’ten ortasına kadar 300’den fazla veritabanı yedeklemesi – ortominds müşterileri olan diş kliniklerine ait olan 1.863.71 gigabayt veri – veya 300’den fazla veritabanı yedeklemesi bulduğunu söyledi.
“300 dosya maruz kaldı, ancak bazı istemcilerin dosya adlarındaki zaman damgalarından birkaç yıl boyunca yayıldıkları gibi görünen birden fazla yedekleme dosyası vardı, bu nedenle müşteri numarası bundan daha az olacak” dedi. ISMG, “Sadece yedeklerden birine bakarak en az 200.000’den fazla hastaydı, ancak bundan ne kadar daha fazla fikrim yok.”
Orthominds başlangıçta 24 Ocak’ta federal düzenleyicilere ihlali bir ağ sunucusu ve “diğer” içeren bir “hack/it olayı” olarak bildirdi. Şirket, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na olayın 501 kişiyi etkilediğini söyledi, ancak bu tahmin muhtemelen o sırada yer tutucu bir rakamdı.
Orthominds, ISMG’nin olayla ilgili ek ayrıntılar talebine, etkilenen gerçek birey ve müşteri sayısı hakkında açıklamaya ve firmanın HHS OCR’ye güncellenmiş bir ihlal raporu oluşturup oluşturmadığına hemen yanıt vermedi.
Web sitesinde yayınlanan bir ihlal bildirisinde Orthominds, bilginin kötüye kullanıldığını veya bugüne kadar kötüye kullanım girişimleri olduğunu gösteren hiçbir kanıt olmadığını söyledi.
Orthominds, olayda sosyal güvenlik numaraları veya ödeme kartı bilgileri tehlikeye atılmış olabilecek kişilere ücretsiz kredi izleme sunduğunu söyledi.
Şirket, “Orthominds ayrıca mevcut politikaları da gözden geçirdi ve geliştirdi ve ilerleyen benzer olaylara karşı daha da korumak için ek teknik güvenlik önlemleri uyguladı.” Dedi.
Diğer aksilikler
Ne yazık ki, yanlış yapılandırmalar veya benzeri aksilikler nedeniyle verilerin İnternet’e maruz kalmasını içeren olaylar, sağlık hizmetlerinde ve diğer sektörlerde kalıcı bir sorundur.
Jayeltee ISMG’ye verdiği demeçte, “Burada olan şirket, erişim denetimi olmayan bir bulut depolama sunucusu bıraktı ve bu sunucuyu bulan herkes tüm dosyaları listeleyebilir ve kimlik doğrulaması olmadan indirebilir.”
Diğer güvenlik araştırmacıları, teminatsız sağlık verilerinin Web’e maruz kalmasını içeren benzer olayları keşfettiler.
Bu, Şubat ayında güvenlik hizmetleri firması firması firma güvenlik keşfinden araştırmacı Jeremiah Fowler, Houston tabanlı DM klinik araştırmalarıyla ilgili internete 1,6 milyondan fazla klinik araştırma kaydı açığa çıkardığı iddia edilen 2 terabayt veri içeren teminatsız bir veritabanının keşfini açıklamayı içeriyor (bakınız: bkz: bkz: bkz: bkz: Klinik Deneme Veritabanı Web’e 1.6m kayıtlarını ortaya çıkarır).
Bu keşif, sağlık verilerinin ve diğer hassas bilgilerin maruz kalmasını içeren Fowler tarafından diğerleri arasında idi (bakınız: Zihinsel Sağlık Kayıtları Veritabanı Web’de maruz kaldı).
Federal düzenleyiciler, yanlış yapılandırma nedeniyle korunan sağlık bilgilerinin maruz kalmasını içeren en az bir büyük olayda HIPAA icra eylemleri gerçekleştirdiler (bakınız: Takashouse, web maruziyeti ihlalinde 250 bin dolarlık uzlaşma öder).
Jayeltee ISMG’ye, “Bu gerçekten yaygındır – bunun olmasının tam nedenleri benim için bilinmiyor, çünkü şirketlerin de açıklamadığını sormuyorum,” dedi Jayeltee ISMG’ye, aynı zamanda hassas verilerin istenmeyen sızıntısını içeren tekrarlayan aksiliklerden bahsediyor.
“Ancak her şey, çevrelerini düzgün bir şekilde güvence altına almayan ve verileri kamuya açık bırakmayan şirketlere geliyor” dedi.