Yanlış yapılandırılmış bir veritabanı, 29 eyalette faaliyet gösteren New Jersey merkezli bir sağlık şirketi olan Eshyft’e bağlı 86.000’den fazla sağlık çalışanı hakkında bilgi de dahil olmak üzere 108.8 GB hassas veri ortaya çıkardı. Eshyft ayrıca sağlık tesislerini nitelikli hemşirelik profesyonelleriyle birleştiren bir mobil platform sunmaktadır.
Maruz kalan veritabanı şifre korumalı veya şifrelenmemişti ve SSN’ler, kimlik belgeleri taramaları, maaş detayları, çalışma geçmişi ve daha fazlasını içeren kişisel olarak tanımlanabilir bilgilerin (PII) bir hazine içeriyordu.
Veritabanı, raporlarını hackread.com ile paylaşan siber güvenlik araştırmacısı Jeremiah Fowler tarafından, maruz kalan verilerin profil görüntüleri, yüz görüntüleri, profesyonel sertifikalar, iş atama anlaşmaları, CVS ve özgeçmişleri içerdiğini ortaya koydu.
Buna ek olarak, bir elektronik tablo belgesi, hemşirelerin dahili kimliklerini, tesis adlarını, vardiyaların saatini ve tarihini, saatleri ve daha fazlasını detaylandıran 800.000’den fazla giriş içeriyordu. Daha da kötüsü, teşhisler, reçeteler veya tedaviler hakkında bilgi içeren tıbbi raporlar da dahil olmak üzere tıbbi belgeler de ortaya çıkmıştır.
Maruz kalan verilerden ekran görüntüsü (Kredi: Web Sitesi Planet için Jeremiah Fowler)
Maruz kalan verilerden ekran görüntüsü (Kredi: Web Sitesi Planet için Jeremiah Fowler)
Maruz kalan verilerden ekran görüntüsü (Kredi: Web Sitesi Planet için Jeremiah Fowler)
Maruz kalan verilerden ekran görüntüsü (Kredi: Web Sitesi Planet için Jeremiah Fowler)
Bu tür hassas verilerin maruz kalması potansiyel olarak HIPAA düzenlemelerine girebilir. Ayrıca savunmasız kullanıcıları kimlik hırsızlığı, istihdam sahtekarlığı, finansal sahtekarlık ve hedeflenen kimlik avı kampanyaları dahil olmak üzere çevrimiçi ve fiziksel risklere maruz bırakabilir.
İyi haber şu ki Fowler hemen Eshyft’i bildirdi. Kötü haber şu ki, kamuoyunun veritabanına erişimini kısıtlamak için uyarıldıktan sonra şirketi bir aydan fazla sürdü. Ancak, Fowler’a göre, maruz kalan veritabanı Eshyft’e ait değildi veya doğrudan yönetilmedi.
Üçüncü taraf bir yüklenicinin yönetiminden sorumlu olup olmadığı belirsizliğini korumaktadır. Ayrıca, maruz kalma süresi ve yetkisiz tarafların verilere erişip erişmediği bilinmemektedir.
Bununla birlikte, siber suçlular maruz kalan verileri mağdurların isimlerindeki suçları işlemek veya ek kişisel veya finansal bilgileri ortaya çıkarmak için aldatmak için kullanabilirler. Bu nedenle HealthTech, aşağıdakileri içeren uygun siber güvenlik önlemlerini uygulamalıdır:
- Hassas veriler için zorunlu şifreleme protokolleri uygulayın.
- Yetkisiz erişimi önlemek için çok faktörlü kimlik doğrulama kullanın.
- Potansiyel güvenlik açıklarını belirlemek için düzenli güvenlik denetimleri yapın.
- Hassas verileri ayırın ve artık kullanılmayan veriler için son kullanma tarihleri atayın.
- Potansiyel güvenlik olaylarını bildirmek için bir veri ihlali yanıt planı ve özel bir iletişim kanalı bulundurun.
- Etkilenen bireylere zamanında sorumlu açıklama bildirimleri sağlayın ve kimlik avı girişimlerinin nasıl tanınacağı konusunda onları eğitin.