8M İngiltere Sağlık Çalışanı Kayıtları, Kimlikler ve Finansal Veriler de dahil olmak üzere, İngiltere merkezli yazılım firması Logezy’den yanlış yapılandırılmış bir personel yönetimi veritabanı nedeniyle ortaya çıkar.
VPNmentor’da Siber Güvenlik Araştırmacısı ve Güvenlik Discovery’nin kurucu ortağı, Jeremiah Fowleryakın zamanda İngiltere merkezli bir yazılım şirketi olan Logezy’nin çalışan veri yönetiminde uzmanlaşmış büyük bir veri sızıntısını ortaya çıkardı.
Hackread.com ile paylaşılan Fowler’ın soruşturmasına göre, maruz kalan veriler, hem şifre koruması hem de şifrelemeden yoksun bir veritabanında depolanan toplam 1.1 TB veri (7.975.438 dosya) yaklaşık 8 milyon kayıt gösterdi.
Maruz kalan veritabanı, iş yetkilendirme belgeleri, ulusal sigorta numaraları, sertifikalar, elektronik imzalar, zaman çizelgeleri, kullanıcı görüntüleri ve devlet tarafından verilen kimlik belgeleri dahil olmak üzere hassas bilgiler içeriyordu.
“Veritabanı ayrıca, çoğu sağlık hizmeti sağlayıcıları, işe alım ajansları veya geçici istihdam hizmetleri olan farklı şirketleri gösteren 656 dizin girişi içeriyordu. rapor.
Fowler derhal Logezy’yi bildirdi ve veritabanına erişim daha sonra kısıtlandı. Bununla birlikte, veritabanının ne kadar süre açık bir şekilde erişilebilir olduğu, yetkisiz bireylerin verilere erişip erişmediği ve veritabanının doğrudan Logezy veya üçüncü taraf bir yüklenici tarafından yönetilip yönetilmediğine dair sorular devam etmektedir. Adli bir denetim bu soruları potansiyel olarak cevaplayabilir.
Derby, İngiltere merkezli Logezy’s Personel Yönetim Yazılımı, hem daimi hem de geçici personelin yönetimini kolaylaştırmak için tasarlanmıştır, işçi dağıtım, ödemeler, faturalandırma ve çalışan veri yönetimi için özellikler sunmaktadır. LoGezy’nin çeşitli endüstrilere hizmet ettiğini iddia ederken, maruz kalan kayıtların öncelikle sağlık sektörü ve sağlık çalışanları ile ilgili olduğunu belirtmek gerekir.
Bu veri maruziyeti, özellikle sağlık sektöründe önemli riskler oluşturmaktadır. Siber saldırılar tarafından giderek daha fazla hedefleniyor. Uzaklaştırılmış bilgiler, suçluların çalınan verileri finansal kazanç için varsaymak için çalınan verileri kullanabilecekleri kimlik hırsızlığı da dahil olmak üzere kötü niyetli amaçlar için kullanılabilir.
Maruz kalan kimlik bilgileri ve elektronik imzalar, iç sağlık sistemlerine yetkisiz erişimi de kolaylaştırabilir ve muhtemelen hassas hasta verilerini ortaya çıkarabilir. Fowler, “Sağlık verilerinin siber suçlular için değerli bir meta olduğu bir sır değil, ancak sağlık sektöründe çalışanların PII’si de öyle” dedi.
Ayrıca, kişisel bilgiler, siber suçluların bireyleri gizli bilgileri ifşa etmek veya sistem erişimi vermek için manipüle ettiği sosyal mühendislik saldırılarında kullanılabilir. Ayrıca yükseltir Fidye yazılımı saldırıları riskisağlık operasyonlarını ciddi şekilde bozabilir.
Fowler, LoGezy tarafından herhangi bir yanlışlık anlamına gelmez ve bilgilerinin şüpheli faaliyet belirtileri için hesaplarını ve kredi raporlarını izlemekten ödün verilmiş olabileceğinden şüphelenen bireylere tavsiyelerde bulunmaz.
Ayrıca, özellikle birden fazla kuruluştan veri ele alan şirketler için merkezi veri depolama ile ilişkili riskleri de vurgulamaktadır. Fowler, verilerin gelişmiş erişim kontrol mekanizmaları ve veri sızıntılarının etkisini azaltmak için şifreleme ile ayrı, güvenli depolama ortamlarına bölünmesi, bu tür beklenmedik veri maruziyetlerinin neden olduğu riskleri önlemek için daha iyi bir strateji olabilir.