Bulut Güvenliği , Güvenlik İşlemleri
Araştırmacı, Yaklaşık 50.000 Belge İçeren Veritabanının Artık Güvenli Göründüğünü Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
21 Mart 2023
New York şehrinin devlet okulu sistemindeki özel eğitim öğrencilerinin kişisel bilgilerini içeren on binlerce belge, internete açık güvenli olmayan bir veri tabanında tutuldu.
Ayrıca bakınız: Tek Araç Güvenliği | Çoklu Bulut, Hibrit ve Mikro Hizmet Ortamlarınız için Prisma® Cloud
Güvenlik hizmetleri şirketi Security Discovery’den araştırmacı Jeremiah Fowler, Information Security Media Group’a güvenli olmayan veritabanını Şubat ayı ortasında bulduğunu ve veritabanının görünen sahibi olan Encore Destek Hizmetleri’ni hemen bilgilendirdiğini söyledi. Fowler, veritabanının o zamandan beri güvence altına alındığını söyledi.
Ne Encore ne de New York City devlet okulu sistemi, ISMG’nin Fowler’ın bulguları hakkında yorum yapma ve olayın bir veri ihlali olarak düzenleyici kurumlara rapor edilip edilmeyeceği de dahil olmak üzere ek ayrıntılar taleplerine hemen yanıt vermedi.
Ortaya çıkan belgeler, otizm gibi özel ihtiyaçları olan 5 yaş ve üstü çocuklara eğitim ve davranışsal sağlık hizmetleri sağlayan Encore tarafından New York devlet okulu sisteminin özel eğitim ve eğitim hizmetlerinden sorumlu bir birimine sunulan fatura faturalarıydı.
Faturalarda yer alan bilgiler arasında öğrenci ve veli adları, adresler, öğrencilerin aldığı hizmet türleri, seansların uzunluğu ve maliyetler yer almaktadır.
Fowler, 6.74 gigabayt veri tabanında yer alan yaklaşık 47.200 kaydın bir kısmının, 2018’e kadar uzanan birkaç yıl boyunca Encore’dan çeşitli hizmetler alan bazı aynı öğrencilere ait olduğunu söyledi. Bu, kaç öğrencinin bilgilerinin potansiyel olarak açığa çıktığı sonucuna varmasını zorlaştırdı.
Belgelerin veri tabanında ne kadar süre açıkta kaldığı ve olayın nasıl meydana geldiği de belirsiz.
Fowler, “Genellikle şirketler ve kuruluşlar, kayıtları veya belgeleri genel bir depolama veritabanına yükler ve ardından güvenli olmadığı halde güvenli olduğunu varsayarak tek bir görüntüye parola korumalı olmayan bağlantılar oluşturur” dedi. “Belgenin bu bağlantısına ebeveynler veya özel bir e-posta veya kullanıcı hesabındaki bireysel çalışanlar erişebilir. Bu yöntemle ilgili sorun, bu bağlantıya sahip olan birinin veritabanının adını ve konumunu görebilmesi ve tüm kayıtlara erişebilmesidir. dedi.
Fowler, hassas veya sağlıkla ilgili verilerin bu şekilde paylaşılmasının “büyük bir güvenlik açığı” olduğunu söyledi. “Kayıtların hâlâ orada olması ve fidye yazılımı tarafından silinmemiş olması, bana büyük ihtimalle çok uzun süre açığa çıkmadıklarını gösteriyor.”
Güvenlik firması Emsisoft kısa süre önce, 1.981 okul işleten 45 ABD okul bölgesinin 2022’de fidye yazılımı saldırılarından etkilendiğini bildirdi.