ABD merkezli yapay zeka sağlık firması Confidant Health’in yanlış yapılandırılmış bir sunucusu, kişisel bilgiler, değerlendirmeler ve tıbbi bilgiler de dahil olmak üzere 5,3 TB hassas ruh sağlığı kaydını ifşa ederek hastalar için ciddi gizlilik riskleri oluşturdu.
Siber güvenlik araştırmacısı Jeremiah Fowler, Connecticut, Florida, New Hampshire, Teksas ve Virginia eyaletlerindeki sakinlere ruh sağlığı ve bağımlılık tedavisi hizmetleri sunan Teksas merkezli bir yapay zeka platformu olan Confidant Health’e ait gizli kayıtları içeren, parola koruması olmayan, yanlış yapılandırılmış bir sunucu keşfetti.
Bilginize, Confidant Health alkol rehabilitasyonu, çevrimiçi suboxone kliniği, bağımlılık öncesi tedavi, davranış değişikliği programı, iyileşme koçu, opioid yoksunluk yönetimi ve ilaç destekli tedavi gibi bir dizi hizmet sunuyor ve 10.000’den fazla indirilen bir Telehealth Bağımlılık Kurtarma uygulamasına sahip.
Bu olaydaki veritabanında 126.276’dan fazla dosya (yaklaşık 5,3 TB) ve 1,7 milyon günlük kaydı bulunuyordu ve şunlar gibi hassas bilgiler ifşa edilmişti:
- Kişisel Tanımlayıcı Bilgiler (PII): İsimler, adresler, iletişim bilgileri, sürücü belgeleri ve sigorta bilgileri.
- Ruh Sağlığı Değerlendirmeleri: Hastaların ruhsal sağlık durumları, aile geçmişleri ve travma deneyimlerinin detaylı değerlendirilmesi.
- Tıbbi Kayıtlar: Reçeteli ilaç listeleri, tanı testi sonuçları, sağlık sigortası bilgileri, Medicaid kartları, tıbbi kayıtlar, tedavi transkriptleri, reçeteli ilaçları listeleyen bakım mektupları ve tıbbi kayıt talepleri veya feragatleri.
- Ses ve Görüntü Kayıtları: Ayrıca oturumların ses ve görüntü kayıtları ile çocuklar, ebeveynler, eşler ve çatışmalar gibi son derece kişisel aile konularının tartışıldığı metin dökümleri de yer alıyor.
Fowler, Cuma günü yayınlanmadan önce Hackread.com ile paylaştığı raporda, belgelerin psikoterapi alım notları ve ruh sağlığı, madde bağımlılığı, aile sorunları, psikiyatrik geçmiş, travma geçmişi, tıbbi durumlar ve ek teşhisleri ayrıntılı olarak açıklayan psikososyal değerlendirmeleri ortaya çıkardığını açıkladı.
Confidant Health bir veri sızıntısı ve kısıtlı erişimi kabul etti. Veritabanının doğrudan Confidant Health tarafından mı yoksa üçüncü bir tarafça mı yönetildiği belirsiz. Açığa çıkma süresi ve yanlış yapılandırılmış sunucuya olası erişim bilinmiyor.
“Veritabanındaki her belge ifşa edilmedi ve dosyaların bir kısmı kısıtlandı ve herkes tarafından görüntülenemiyordu. Ancak, bu kısıtlanmış dosyalardaki veriler görüntülenemese bile, kötü niyetli aktörlerin ek hasta verilerinin dosya yollarını ve depolama konumlarını bilmesi riski vardır,” diye belirtti Fowler.
Sızdırılan verilerden ekran görüntüsü (Kaynak: VPNmentor)
Sızdırılan verilerden ekran görüntüsü (Kaynak: VPNmentor)
Sızdırılan verilerden ekran görüntüsü (Kaynak: VPNmentor)
Hassas hasta verilerinin ifşa edilmesi, gizlilikleri için önemli bir risk oluşturur ve kimlik hırsızlığı, tıbbi kimlik hırsızlığı, gasp ve şantaj gibi çeşitli olumsuz sonuçlara yol açabilir. Suçlular bu bilgileri sahte hesaplar açmak, sahte sigorta talepleri dosyalamak, hastaları ruh sağlığı bilgilerini ifşa etme tehditleriyle hedef almak ve zayıflıklarından yararlanmak için kullanabilir.
Olay, tele-sağlık sektöründe güçlü veri güvenliği önlemlerinin önemini vurguluyor. Temel önlemler arasında şifreleme, erişim kontrolleri, düzenli güvenlik denetimleri, veri güvenliği en iyi uygulamaları konusunda çalışan eğitimi ve kapsamlı bir olay yanıt planı yer alabilir. Tele-sağlık hizmetleri popülerlik kazanmaya devam ederken, sağlayıcılar hasta gizliliğine ve veri güvenliğine öncelik vermelidir.
İLGİLİ KONULAR
- Yapay zeka firması 2,5 milyon hassas tıbbi kaydı çevrimiçi olarak ifşa etti
- Milyonlarca ABD Seçmen Verisi 13 Yanlış Yapılandırılmış Veritabanında Açığa Çıktı
- Meksika’nın En Büyük ERP Sağlayıcısı ClickBalance 769 Milyon Kaydı Açığa Çıkardı
- Sağlıkta Yapay Zeka: ChatGPT, Doktorlar Başarısız Olduktan Sonra Çocuğun Teşhis Almasına Yardımcı Oluyor
- Veritabanı Karmaşası: 7TB Sağlık Verisi Sızıntısı 12 Milyon Hastayı Etkiledi