Teletıp sağlayıcısı Dr. Secondo Ansay'da, yaklaşık yarım milyon müşteriden gelen yaklaşık 1,7 milyon reçetenin potansiyel olarak görüntülenebileceği bir güvenlik açığı vardı. İsimler, adresler, e-posta adresleri, telefon numaraları ve çoğu Almanya'dan olmayan yaklaşık 15 reçete yazan doktorun bilgileri de dahil olmak üzere sağlıkla ilgili ve kişisel verileri içeren esrar reçeteleri özellikle etkilendi. Burada ayrıca seçilen ilaçlar, dozajlar ve eczanelerin yanı sıra örneğin ağrı kesici siparişleri hakkındaki verileri de görüntülemek mümkün oldu. Şirket, veri sızıntısıyla ilgili sorulara yanıt vermiyor.
Duyurudan sonra devamını okuyun
Haberler Online, güvenlik açığının Firebase Firestore veritabanının erişim kurallarının yanlış yapılandırılmasından kaynaklandığına dair belirtiler aldı. Haberler online bunu doğrulayabildi. Yanlış yapılandırma nedeniyle, geçerli bir jetona sahip kayıtlı kullanıcılar yalnızca tariflerine değil aynı zamanda tüm veri kümelerine de erişebildi. Konuyu şirkete bildirmek için yapılan birçok girişime rağmen başlangıçta herhangi bir yanıt alınamadı ve veriler Ocak ayı başlarına kadar korumasız kaldı. Akşam saatlerinde Haberler'nin şirkete internet üzerinden talepte bulunmasının ardından boşluk kapandı.
Hata ödül programı
Dr. Ansay, Haberler Online'ın temel cevaplanmamış sorularını yanıtlıyor ve keşfi yeni başlatılan bir hata ödül programıyla gerekçelendiriyor: “Boşluğun bizim tarafımızdan başlatılan bir hata ödül programı nedeniyle bulunduğunu varsayıyoruz.”
Dr. Ansay cevap vermedi. Güvenlik açığını bulan güvenlik araştırmacısına Dr. Ansay, sorumlu makama bir GDPR bildirimi başlattığını söyledi. Haberler'ın Malta'nın veri koruma yetkililerine yaptığı talebe henüz bir yanıt gelmedi.
Bir sözcü, Haberler'nin talebi üzerine internet üzerinden yaptığı açıklamada, Hamburg'un veri koruma yetkilisinin herhangi bir rapor almadığını söyledi. “Bildiğimiz kadarıyla Dr. Ansay'ın Hamburg'da teletıp yazılımının geliştirilmesi ve pazarlanması için tek bir yan kuruluşu var, Dr. Ansay AU-Schein GmbH.” Bu nedenle raporlamanın Malta'da yapılması gerekiyordu.
Bir sözcü, “Ne yazık ki güvenlik araştırmacısıyla temas tatil nedeniyle gecikti” dedi. İletişim artık çalışıyor ve sorun hemen çözüldü. “Güvenlik araştırmacısına yaptığı çalışmalardan dolayı teşekkür ediyoruz ve olayı şirket içinde ele almaya devam ediyoruz.” Doktor daha fazla ayrıntı istedi. Ansay, “İleride siyah şapkalı hackerların kullanabileceği için şimdilik paylaşım yapmıyoruz ve sistemlerimizi koruyoruz”.
Duyurudan sonra devamını okuyun
Dijital Sağlık'a kaydolun
Her 14 günde bir size sağlık sisteminin dijitalleştirilmesindeki en son gelişmelere ilişkin bir genel bakış sunuyoruz ve bunların etkilerini vurguluyoruz.
E-posta adresi
Veri koruma beyanımızda gönderim prosedürü ve iptal seçenekleri hakkında ayrıntılı bilgi bulabilirsiniz.
Cevapsız kalan ise güvenlik açığının ne kadar süredir var olduğu, şirketin bundan ne zaman haberdar olduğu, verilerin gerçekten sızdırılıp sızdırılmadığı ve etkilenen kişilerin daha önce bilgilendirilip bilgilendirilmediği. Ayrıca, hangi koruma önlemlerinin uygulandığı ve kusurun güvenlik kontrollerimiz sırasında neden keşfedilmediği de belirsiz.
İç güvenlik ve izleme süreçleri
Çevrimiçi ve Reddit'teki Haberler ile ilgili olarak Dr. Ansay, Aralık ayında “iç güvenlik ve izleme süreçlerinin […] “sürekli” ve “yetkisiz erişime veya veri sızıntısına dair hiçbir kanıt yok.” O dönemde Dr. Ansay'ın veri setlerinin bir yeraltı forumunda satışa sunulduğu iddia ediliyor. Verilerin nereden geldiği belirsiz. Diğer platformlar veya benzerleri tarafından halihazırda yayınlanmış olan sızıntıların bir karışımı da düşünülebilir. Verilerin gerçekliği henüz doğrulanmadı.
Dr. Ansay, sistemlerinin güvenliğine büyük önem vermektedir.
(Resim: Reddit)
Sayın Dr. Ansay, veri korumanın “en yüksek öncelik” olduğunu söylüyor. “Sistemler sürekli izleniyor. Kimlik avı ve smishing girişimlerindeki mevcut artış göz önüne alındığında, iç kontroller daha da yoğunlaştırıldı ancak sonuç alınamadı.”
Çoğu araştırmacı araştırma ancak bilgi verenlerin anonim bilgileri sayesinde mümkündür.
Kamuoyunun bilmesi gereken bir konu hakkında bilginiz varsa bize bilgi ve materyal sağlayabilirsiniz. Anonim ve güvenli gelen kutumuzu kullanın:
- Haber/investigativ
Mayıs 2024'te veri ihlali
Mayıs 2024 gibi erken bir tarihte Dr. Ansay, esrar tariflerine arama motorları aracılığıyla erişilebildiği bir kamuya açık veri ihlaline maruz kaldı. Şirket daha sonra olayı veri koruma yetkilisine bildirdi, açığın kapatıldığını belirtti ve veri sahiplerini e-posta yoluyla bilgilendirdi.
Güncelleme
16.47
Saat
Hamburg Eyaleti Kişisel Verileri Koruma Kurumunun yanıtı eklendi.
(mak)
Bir yanıt yazın