ÖZET
- Siber güvenlik araştırmacısı Jeremiah Fowler, 4,8 milyondan fazla hasta kaydının bulunduğu korumasız bir Care1 veritabanı keşfetti.
- Açığa çıkan veriler arasında isimler, adresler, tıbbi geçmişler ve Kişisel Sağlık Numaraları (PHN’ler) yer alıyordu.
- İhlalin sorumluluğu ve süresi belirsizliğini koruyor.
- Sağlık hizmetlerinde veri ihlalleri artıyor ve önemli gizlilik riskleri oluşturuyor.
- Hassas hasta bilgilerinin korunması için daha güçlü siber güvenlik önlemleri gereklidir.
Siber güvenlik araştırmacısı Jeremiah Fowler yakın zamanda optometristlere yapay zeka destekli yazılım çözümleri sağlayan Kanadalı bir şirket olan Care1’e ait devasa bir veritabanı keşfetti. 4,8 milyondan fazla hasta bilgisi kaydını (toplam 2,2 TB boyutunda) içeren veri tabanı, tamamen korumasız bırakılarak hasta adları, adresleri, tıbbi geçmişleri ve hatta benzersiz Kişisel Sağlık Numaraları (PHN’ler) gibi hassas veriler açığa çıktı.
Care1, 170’in üzerinde iş ortağı optometristi ve onların yazılımları kullanılarak yönetilen 150.000’den fazla hasta ziyareti ile uzmanlaşmış bir sağlık teknolojisi şirketidir. Yapay zeka kullanarak, gelişmiş yazılım mühendisliğinden ve kapsamlı ortaklık ağlarından yararlanarak göz bakımında bozulma konusunda uzmanlaşıyorlar.
Fowler’ın vpnMentor tarafından yayınlanan araştırmasına göre, açığa çıkan veriler arasında hasta bilgilerinin yer aldığı ayrıntılı göz muayenesi raporları, doktor notları ve görüntüler yer alıyordu. Göz muayenesi raporları PDF formatındaydı ve hastanın kişisel bilgilerini, doktorun yorumlarını ve görsellerini içeriyordu.
Ayrıca, CSV ve XLS elektronik tabloları da açığa çıkan veri tabanının bir parçasıydı ve hastaları ev adresleri, Kişisel Sağlık Numaraları (PHN’ler) ve doktor yorumları ve göz muayenesinden alınan görüntüler de dahil olmak üzere sağlıkla ilgili diğer bilgilerle birlikte listeliyordu.
Bilginiz olsun diye söylüyorum: Kanada sağlık sisteminde Kişisel Sağlık Numarası (PHN), hastanın sağlık bilgilerinin tüm sağlayıcılar tarafından erişilebilir olmasını sağlayan benzersiz bir tanımlayıcıdır. PHN’nin kendisi doğrudan mali dolandırıcılığa yol açmasa da suçluların bir bireyin kapsamlı bir profilini oluşturması açısından değerli bir bilgi parçası olabilir.
Veritabanının doğrudan Care1’e ait olup olmadığı ve yönetilip yönetilmediği veya üçüncü taraf bir yüklenici tarafından mı idare edildiği belli değil. Ayrıca, ne kadar süreyle açıkta kaldığı veya dahili adli denetim yapılmadığı sürece yetkisiz bir kişi tarafından erişilip erişilmediği de belirsiz. Fowler’a göre blog yazısışirkete sorumlu bir açıklama bildirimi gönderdi ve kamuya açık erişim derhal kısıtlandı.
Dijital sistemlere olan bağımlılığın artmasıyla birlikte sağlık hizmetiveri ihlali potansiyeli de artıyor. Bu seviyedeki bir maruz kalma, hastaların tıbbi bilgilerinin kimlik hırsızlığı veya diğer kötü niyetli faaliyetler için kötüye kullanılabilmesi nedeniyle hastalar için önemli gizlilik riskleri oluşturmaktadır. 2023 yılında Fowler keşfedildi Hint tıbbi teşhis firması Redcliffe Labs’a ait, tıbbi taramalar ve test sonuçları gibi hassas hasta verileri de dahil olmak üzere 12 milyondan fazla kayıt içeren, şifre korumalı olmayan bir veritabanı.
Bu olaylar sağlık sektöründe artırılmış güvenlik önlemlerine duyulan ihtiyacı yansıtıyor. Hassas hasta bilgileriyle ilgilenen Care1 gibi şirketlerin, güçlü şifreleme, erişim kontrolleri ve düzenli güvenlik denetimleri dahil olmak üzere sıkı siber güvenlik önlemlerine öncelik vermesi gerekiyor.
İLGİLİ KONULAR
- 7TB Sağlık Veri Sızıntısı 12 Milyon Hastayı Etkiliyor
- Yapay Zeka Firmasının Sunucusu 5,3 TB Ruh Sağlığı Kayıtlarını Açığa Çıkardı
- Yapay Zeka (AI) Modern Sağlık Hizmetlerini Nasıl Etkiliyor?
- Dark Web Satışları Sağlık Siber Saldırılarında %32 Artışı Artırıyor
- Sağlık Hizmetlerinde Yapay Zeka: ChatGPT, Doktorların Başarısız Olması Sonrası Çocuğun Teşhis Konulmasına Yardımcı Oluyor