Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Araştırmacı, şifre koruması olmadan hassas hasta bilgilerinin veritabanını bulur
Marianne Kolbasuk McGee (Healthinfosec) •
25 Eylül 2025
Teminatsız veri önbelleğini keşfeden bir siber güvenlik araştırmacısı, Kaliforniya merkezli bir ev sağlığı ve palyatif bakım hizmetleri sağlayıcısının yaklaşık 150.000 hasta kaydını içeren şifrelenmemiş bir veritabanı internette maruz kaldı.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Bulgularını Perşembe günü yayınlanan bir raporda açıklayan araştırmacı Jeremiah Fowler, maruz kalan 23.7-gigabayt veritabanı, isimleri, hasta kimlik numaralarını, sosyal güvenlik numaralarını, fiziksel adresleri ve Archer Health’e ait telefon numaralarını içeren tıbbi belgeler içerdiğini söyledi.
Veritabanı ayrıca değerlendirmeler olarak etiketlenmiş belgeleri, ev sağlık sertifikaları, bakım planları planları ve tanısı, tedaviler ve “kamuya açıklanmaması gereken potansiyel olarak hassas sağlıkla ilgili diğer veriler de dahil olmak üzere kişisel olarak tanımlanabilir ve korunan sağlık bilgilerini içeren deşarj formlarını da içeriyordu.
Fowler, geçiş kelimesi olmayan korumalı veritabanının doğrudan Archer Health veya üçüncü taraf bir yüklenici tarafından sahip olup olmadığının belirsiz olduğunu söyledi. Ayrıca, Fowler’ın keşfetmeden önce veritabanının ne kadar süre maruz kaldığı da bilinmiyor.
Bilgi Güvenlik Medya Grubuna verdiği demeçte, “Neredeyse tüm dosyalardaki ‘değiştirilen tarih’ 2025’teydi, bu yüzden 2025’te yeni bir depolama veya CRM sisteminin oluşturulduğu ve kamuya erişime izin vermek için yanlış yapılandırıldığı zaman gerçekleşebilir.” Diyerek şöyle devam etti: “Dosyaların mevcut bilgilere dayanarak ne kadar süre maruz kaldığını belirlemek zor.”
Archer Health’e bulguları hakkında bilgi verdikten sonra, veritabanı saatler içinde halka erişimden kısıtlandı ve artık erişilemediğini söyledi.
Daha önce, diğer kuruluşların sağlık ve diğer sektörlerde kayıtlarını içeren diğer birçok veritabanını keşfeden Fowler, “Bu tür bir pozlama, uygunsuz güvenlik duvarı yapılandırma ayarları, kamuya açık erişim ayarları veya sadece bir hata nedeniyle gerçekleşebilir.” Dedi. Klinik Deneme Veritabanı 16m kayıtları web’e açığa çıkarır).
“Bir kuruluşun belgelere yüklemesi veya erişmesi gereken birden fazla konuma ve çalışan veya yükleniciye sahip olduğu birçok durum gördüm. Teknik olarak, dosyaların şifre korumalı bir CRM veya benzer pano için teslim edilebilmesi için büyük ekipler için erişim kimlik bilgilerini ve kontrollerini yönetmek zor olabilirken, dosyaların kendileri parola olmadan tek bir yerde toplu olarak saklanır” dedi.
Archer, ISMG’nin Fowler’ın bulguları hakkında yorum talebine hemen cevap vermedi.
Genel olarak, sağlık sektöründeki şirketler son yıllarda veri güvenliğinde çok daha iyi hale geldi, ancak maalesef bu değişikliklerin bazıları, sektörün fidye yazılımı ve diğer saldırılar ve HIPAA ihlallerinin finansal cezaları için en çok hedeflenenler arasında olmasının sonucu olduğunu söyledi.
“Bu değişikliklere ne sebep olursa olsun, endüstrinin daha proaktif olduğunu görmekten mutluluk duyuyorum ve bugünlerde daha az sağlık verisi buluyorum” dedi.
Ancak veri maruziyeti meydana geldiğinde, insan hatası en yaygın nedendir, dedi Fowler. “Kodlama, geliştirme ve veri güvenliği genellikle tıp uzmanının sahip olduğu beceri setleri değildir ve genellikle bu hizmetleri sunmak için üçüncü taraf yüklenicilere veya satıcılara bağlı olmalıdır.” Dedi.
“Veriler sağlayıcının velayet zincirinden aktarıldıktan sonra riskleri önemli ölçüde artırıyor.”
Fowler’ın keşiflerinden en az biri mahkemeye çıktı. Geçen ay, Ohio esrar kartı olarak iş yapan Ohio Medical Alliance, Fowler’ın yaklaşık bir milyon tıbbi esrar hastasının kişisel kayıtlarını içeren maruz kalan bir veritabanı bulgularının ardından önerilen bir sınıf eylem davası ile vuruldu (bakınız: Tıbbi esrar firması sağlık verilerine maruz kalmaya dava açtı).