Güvenlik araştırmacısı Jeremiah Fowler, Website Planet’in araştırma ekibiyle işbirliği içinde 16.000’den fazla kayıt içeren korumasız bir veritabanı keşfetti. Daha da kötüsü, yanlış yapılandırılmış veri tabanı binlerce çocuğa ait kişisel olarak tanımlanabilir hassas bilgiler (PII) içeriyordu.
Fowler, yanlış yapılandırılmış veritabanının, ebeveynlerin ve çocukların adları, doğum tarihleri, hasta kimlik numaraları, fiziksel adres, özel ihtiyaçlar, devam edilen okul, tıbbi teşhisler ve sosyal/davranışsal sorunların geçmişi dahil olmak üzere oldukça hassas PII içerdiğini kaydetti.
Veritabanında Hangi Bilgiler Vardı?
Araştırmacılar, verilerin kime ait olduğunu belirlemek için 1.000 kayıt örneğini inceledi ve onları açığa çıkan veri tabanı hakkında bilgilendirdi. Bulgularına göre, inceledikleri her kayıtta çocuklarla ilgili bir tür PII vardı.
Kayıtlar, Hasta Kimlik numarasına göre benzersizdi ve veriler oldukça yeni görünüyor. Veritabanında, çocukların kayıtları aşağıdakileri içeren etiketlerle kategorize edildi:
- Dikkat Zorlukları
- Davranış Zorlukları
- Otizm Belirtileri
- Duygusal Sorunlar
- Sosyal İç Endişeler
- Öğrenme Sorunları
- Geliştirme Gecikmesi
Bununla birlikte, Website Planet’in raporuna göre, keşfin şaşırtıcı bir yönü, kayıtların çocuklarının durumunu açıklayan bir özet/anket içermesidir. Ebeveynler, çocuklarının tıbbi yardıma ihtiyacı olduğunu doğrulayan, çocuklarının zorluklarını ve durumlarını açıklarken bu ayrıntılı bir genel bakıştı.
Bu tür bilgilere yalnızca tıp uzmanları erişebilirdi, ancak ana bilgisayar etki alanını, oturum açma portalını ve veri konumunu gösteren yanlış yapılandırılmış bir IP aracılığıyla halka açıktı.
Veritabanının Sahibi Kim?
Daha fazla araştırma, verilerin Tridas eWriter adlı bir çevrimiçi görüşme sistemine bağlı olduğunu ortaya çıkardı. Tempa, Florida merkezli Tridas Group LLC bu sistemi işletiyordu. Bu şirket, Otizm, DEHB, öğrenme güçlükleri ve benzeri bozuklukları olan çocukların teşhis yönetimi için okullar ve ebeveynler için yazılım sunmaktadır.
Şirketin web sitesinde “Tridas eWriter, güvenli, HIPAA uyumlu çevrimiçi anketler sağlar ve bu karmaşık sorunların teşhisini ve yönetimini kolaylaştırmak için verileri okunması kolay bir biçimde düzenleyen ayrıntılı bir rapor oluşturur.”
Araştırmacılar, kayıtların, ebeveynler tarafından çocuklarının ilk değerlendirme randevusunu almadan önce doldurulan Tridas eWriter anketlerinden toplandığına inanıyor. Tridas Center web sitesine göre 31 Aralık 2019’da kapatıldı.
Ancak, Website Planet’teki araştırmacılar, Tridas Group LLC’yi açığa çıkan veri tabanı hakkında bilgilendirdi ve ona erişim derhal kısıtlandı.
Potansiyel risk
Bu tür hassas sağlık kayıtlarına maruz kalmak bir dizi risk içerir ve çocukların ve ailelerinin güvenliğini tehlikeye atabilir. Açığa çıkan veriler, tıbbi şantaj veya kimlik avı, sosyal mühendislik dolandırıcılığı ve hatta veri şifrelemeye yol açabilecek fidye yazılımı saldırıları için kullanılabilir.
Tehdit aktörleri, gelecekteki siber saldırıları başlatmak için kötü amaçlı kod ekleyebilir veya güvenlik açıklarını tespit edebilir. Tıbbi kayıtlar, çocukların sağlığına ait olduğu için açığa çıkan bilgilerin en hassas ve en önemli kısmıdır ve dolandırıcılar bunları uzun süre istismar edebilir.
Alakalı haberler
- Operasyon korumalı çocukluk: 113 çevrimiçi çocuk avcısı tutuklandı
- Çocuklar için hikaye kitapları uygulaması FarFaria, 3 milyon kullanıcının verilerini ifşa etti
- Sızdıran Sunucu, 150.000 Mastodon Kullanıcısının Kazınmış Verilerini Açığa Çıkarıyor
- Neopets, 69 Milyon Hesap Çalınırken İkinci Veri İhlalinden Acı Çekiyor
- Japon Sağlık Firması ‘Doctors Me’ 12.000 Hastanın Görüntülerini Ortaya Çıkardı