New Jersey merkezli bir HealthTech şirketi olan Eshyft’e ait 86.000’den fazla kayıt ortaya çıkaran hassas sağlık çalışanları bilgilerini içeren önemli bir veri ihlali keşfedilmiştir.
Siber güvenlik araştırmacısı Jeremiah Fowler, şifre koruması veya şifreleme içermeyen yaklaşık 108.8 GB veri içeren korunmasız bir AWS S3 depolama kovası tespit etti ve özel sağlık çalışanları bilgilerini kamuya açık bıraktı.
Yanlış yapılandırılmış bulut depolama, profil görüntüleri, çalışma programları, profesyonel sertifikalar ve HIPAA düzenlemeleri kapsamında potansiyel olarak korunan tıbbi belgeler dahil olmak üzere son derece hassas kişisel olarak tanımlanabilir bilgiler (PII) içeriyordu ve 29 eyalette etkilenen sağlık profesyonelleri için önemli risk oluşturdu.
Hassas veriler maruz kaldı
Teminatsız AWS S3 kovası 86.341 kayıt içeriyordu ve belgelerin çoğunluğu “APP” etiketli bir klasörde saklandı.
Araştırması sırasında Fowler, kullanıcıların yüz görüntüleri, aylık çalışma çizelgesi günlüklerine sahip CSV dosyaları, profesyonel sertifikalar, iş atama anlaşmaları ve ek PII içeren CV’ler de dahil olmak üzere hassas bilgiler içeren birden fazla dosya türü keşfetti.
Tek bir elektronik tablo belgesi, hemşirelerin dahili kimliklerini, tesis adlarını, vardiya tarihlerini ve saatlerini ve çalışılan saatleri detaylandıran ve sağlık çalışanları faaliyetlerinin kapsamlı bir veri kümesini temsil eden saatler içeriyordu.
Belki de en önemlisi, görünüşe göre HIPAA koruması altına girebilecek teşhisler, reçeteler ve tedaviler hakkında bilgi içeren kaçırılan vardiyalar veya hastalık izni için kanıt olarak yüklenen tıbbi belgelerin varlığıydı.
Maruz kalan S3 kovasını keşfettikten sonra Fowler, standart güvenlik araştırmacısı protokollerini takiben hemen Eshyft’e sorumlu bir açıklama bildirimi gönderdi.
Maruz kalan verilerin kritik doğasına rağmen, veritabanına halka açık erişim, ilk bildirimden sadece bir aydan fazla kısıtlanmıştır.
Şirket, bildirimin kısa bir ifadeyle alındığını kabul etti: “Teşekkürler! Bunu aktif olarak inceliyoruz ve bir çözüm üzerinde çalışıyoruz ”.
Yanlış yapılandırılmış AWS S3 kovasının doğrudan Eshyft tarafından mı yoksa üçüncü taraf bir yüklenici veya bir üçüncü taraf yüklenici aracılığıyla yönetilip yönetilmediği ve verilerin keşiften önce ne kadar süre maruz kaldığı veya yetkisiz tarafların pozlama süresi boyunca erişip erişemeyeceği konusunda hiçbir bilgi mevcut değildir.
ESHYFT, sağlık tesislerini sertifikalı hemşirelik asistanları (CNA’lar), lisanslı pratik hemşireler (LPN’ler) ve kayıtlı hemşireler (RN’ler) dahil olmak üzere nitelikli hemşirelik profesyonellerine bağlamak için tasarlanmış bir mobil platform işletir.
Uygulama, hemşirelerin, sağlık tesislerine veteriner W-2 hemşirelik personeline erişim sağlarken programlarına uygun vardiyalar seçmelerine olanak tanır.
California, Florida, Georgia ve New Jersey gibi 29 ABD eyaletinde bulunan platform, sağlık personeli zorluklarına önemli bir teknolojik çözümü temsil ediyor.
Mobil uygulama, hem Apple’ın App Store hem de Google Play Store’da mevcuttur ve burada 50.000’den fazla kez indirilir ve bu da sağlık uzmanları arasında yaygın kullanımını gösterir.
Bu veri maruziyeti, Sağlık Kaynakları ve Hizmetler İdaresi’nin 2027 yılına kadar ülke çapında% 10’luk kayıtlı hemşirelerin% 10’unu öngören sağlık personeli zorluklarının artırılmasının bir zemininde gerçekleşir.
Sağlık kuruluşları, personel eksikliklerini ele almak için teknoloji platformlarına giderek daha fazla güvenirken, çevrimdışı sağlık işlerinin çevrimiçi teknoloji ile entegrasyonu, ele alınması gereken yeni güvenlik açıkları yaratır.
Sağlık işçisi verilerinin maruz kalması, siber suçlular son yıllarda rutin olarak hastaneleri ve tıbbi tesisleri hedefledikleri için sadece bireysel gizlilik için değil, potansiyel olarak kritik sağlık altyapısı için önemli bir risktir.
Benzer AWS S3 kova yanlış yakınlaştırmalarını önlemek için, sağlık teknolojisi şirketleri, en az ayrıcalık prensibini kullanarak katı erişim kontrolleri uygulamalı, depolanan tüm veriler için varsayılan şifrelemeyi etkinleştirmeli ve hassas veri algılama için Amazon Macie gibi AWS güvenlik özelliklerini kullanmalıdır.
Güvenlik uzmanları, bulut altyapısındaki potansiyel güvenlik açıklarını belirlemek için hassas veriler ve düzenli güvenlik denetimleri için zorunlu şifreleme protokolleri önermektedir.
Hassasiyet seviyelerine göre verileri ayırma uygulaması özellikle önemlidir – bu durumda belirtildiği gibi, kullanıcı profili görüntüleri ve tıbbi belgeler, çok farklı duyarlılık sınıflandırmalarına rağmen aynı klasörde saklanmıştır.
Kullanıcıların hassas bilgilere eriştiği herhangi bir uygulama için çok faktörlü kimlik doğrulama (MFA) uygulanmalı ve kuruluşlar güvenlik olaylarını raporlamak için özel iletişim kanallarıyla net veri ihlali yanıt planları oluşturmalıdır.
86.000’den fazla sağlık personeli kayıtlarının maruz kalması, teknoloji kritik sağlık personelinin sıkıntılarını ele almaya yardımcı olsa bile, aynı zamanda uyanık dikkat ve proaktif koruma önlemleri gerektiren yeni güvenlik zorlukları getirdiğini hatırlatıyor.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.