Yeni bir araştırma, binlerce kişinin terapi seanslarının ses ve görüntüleri de dahil olmak üzere son derece hassas sağlık ayrıntılarının internette açıkça erişilebilir olduğunu ortaya koydu. ABD’li bir sağlık hizmeti firmasıyla ilişkilendirilen bilgi önbelleği, 120.000’den fazla dosya ve 1,7 milyondan fazla aktivite kaydı içeriyordu.
Ağustos ayının sonunda, güvenlik araştırmacısı Jeremiah Fowler, sanal tıbbi sağlayıcı Confidant Health’e bağlı güvenli olmayan bir veritabanında ifşa edilmiş bilgi hazinesini keşfetti. Connecticut, Florida ve Teksas dahil olmak üzere beş eyalette faaliyet gösteren şirket, ruh sağlığı tedavileri ve diğer hizmetlerin yanı sıra alkol ve uyuşturucu bağımlılığından kurtulmaya yardımcı oluyor.
Açığa çıkan 5,3 terabayt verinin içinde, kişisel terapi seanslarının ötesine geçen hastalar hakkında son derece kişisel ayrıntılar vardı. Fowler’ın gördüğü dosyalar arasında, insanların psikiyatri alım notlarının ve tıbbi geçmişlerinin ayrıntılarının çok sayfalı raporları yer alıyordu. Fowler, “Bazı belgelerin altında ‘gizli sağlık verileri’ yazıyordu” diyor.
Örneğin, bir hastayla yapılan bir saatlik seansa dayandığı anlaşılan yedi sayfalık bir psikiyatri alım dosyasında, hastanın aile üyesi vefat etmeden önce büyükanne ve büyükbabasının bakımevinden “az miktarda” narkotik aldığını iddia etmesi de dahil olmak üzere alkol ve diğer maddelerle ilgili sorunlar ayrıntılı olarak anlatılıyor. Başka bir belgede, bir anne, kocası ve oğlu arasındaki “tartışmalı” ilişkiyi, oğlunun uyarıcılar kullanırken partnerini cinsel tacizle suçlaması da dahil olmak üzere anlatıyor.
Açığa çıkan sağlık belgeleri arasında insanların görünümleri, ruh halleri, hafızaları, ilaçları ve genel zihinsel durumları hakkında bazı tıbbi notlar yer alıyor. Araştırmacının gördüğü bir elektronik tabloda Confidant Health üyeleri, sahip oldukları randevu sayısı, randevu türleri ve daha fazlası listeleniyor gibi görünüyor.
“Bazı yürek parçalayıcı, gerçekten acı verici aile travmaları, kişisel travmalar var,” diyor Fowler ve dosyalardan bazılarının hasta seanslarının ses ve görüntüleri olduğunu ekliyor. “Bu, neredeyse günlüğünüze anlattığınız en derin, en karanlık sırlarınızın açığa çıkması gibi ve bunlar asla ortaya çıkarmak istemediğiniz şeyler.”
Fowler, ifşa edilen veritabanındaki tıbbi dosyaların yanında sürücü ehliyetleri, kimlik kartları ve sigorta kartlarının kopyaları da dahil olmak üzere yönetim ve doğrulama belgelerinin bulunduğunu söylüyor. Kayıtlarda ayrıca bazı verilerin sohbet robotları veya yapay zeka tarafından toplandığına dair göstergeler bulunuyordu ve bu da istemlere ve sorulara verilen yapay zeka yanıtlarına atıfta bulunuyordu.
Fowler şirketle iletişime geçtikten sonra Confidant Health’in ifşa edilen veritabanına erişimi hızla kapattığını söylüyor. Şirketleri ifşa edilen veriler konusunda uyaran ve hiçbirini indirmeyen araştırmacı, ifşa edilen 120.000 dosyanın bir kısmının bir tür parola korumasına sahip olduğunu söylüyor. Fowler, ifşayı doğrulamak ve verilerin kaynağını belirlemek için yaklaşık 1.000 dosyayı incelediğini ve böylece şirketi uyarabildiğini söylüyor. İfşa edilen bir veritabanının hem kilitli hem de kilidi açılmış dosyaları içermesinin alışılmadık olduğunu söylüyor.
WIRED’a yaptığı açıklamada, Confidant Health’in kurucu ortağı Jon Read, şirketin güvenlik endişelerini ciddiye aldığını ve “güvenlik önlemlerini” dikkate aldığını söylüyor.[s] bulguların sansasyonel doğasıyla ilgili bir sorun. Read, şirketin “uygunsuz yapılandırma” konusunda bilgilendirildikten sonra ifşa edilen dosyalara erişimin “bir saatten kısa sürede” düzeltildiğini söylüyor.