bencede
New member
Sağlık uygulamasındaki güvenlik açıkları: Veri hırsızlığı mümkün olabilirdi
Güvenlik araştırmacısı Martin Tschirsich, çevrimiçi doktorların çeşitli sağlık uygulamalarında bir güvenlik açığı ve birkaç uygulama hatası keşfetti. Hangi zamanın bir raporundan geliyor. Sonuç olarak, çeşitli sağlık verilerine ve doktor-hasta sohbetlerine yetkisiz erişim elde etmek sadece üçüncü şahıslar tarafından mümkün olmadı. Saldırganlar e-postalarını ele geçirmeyi başarırsa, doktorların kimlikleri parola sıfırlama özelliği nedeniyle de risk altındaydı. Monks Ärzte im Netz GmbH’nin genel müdürü Sean Monks’a göre, Haberler online’da belirttiği gibi, bu özellik şu anda tüm tıp dernekleri için devre dışı. Bunun yerine, yakında iki faktörlü kimlik doğrulama kullanılacaktır.
Tschirsich, raporda uçtan uca şifrelemenin (E2EE) yanlış uygulanmasını da eleştiriyor. Bu, saldırganların uygulamalar aracılığıyla doktorun ofisine kötü amaçlı yazılım göndermesine izin verirdi. Monks’a göre, E2EE gelecekte varsayılan olarak açık olmalıdır. Önceden, doktorların önce bu seçeneği etkinleştirmesi gerekiyordu.
Uygulamaların arkasında farklı isimler altında sunulan bir ürün yer alıyor. Playstore’da 700.000 kullanıcılı “Pediatrisyenim”, 100.000’den fazla indirmeli “My GynPraxis” ve 5.000’den fazla indirmeli “KBB Doktorum” uygulaması etkilendi. Sigortalılar, uygulamaları kullanarak doktor randevusu alabilir veya doktorlarla görüntülü görüşme veya sohbet yoluyla iletişim kurabilir. Bavyera Pratisyen Hekimler Derneği yakın zamanda üyelerine “My GP’s Practice” uygulamasını sunmaya başladı.
Hızlı cevap
Monks, güvenlik açıklarının bir nedeninin “yerel olarak geliştirirken, kodun bir kısmının yorumlanması ve dağıtımdan önce yanlışlıkla atlanması” olduğunu söylüyor. Monks’a göre hata Ekim 2022’de meydana geldi ve 24 saat içinde düzeltildi. Federal Bilgi Güvenliği Ofisi’ne (BSI) göre, şirket “güvenlik açığı raporunu aldıktan sonra derhal tepki gösterdi. ” Koordineli Güvenlik Açığı İfşası ” süreci çerçevesinde şirketle işbirliği ve zamanında tepki ve yama şirket tarafından” BSI açısından memnuniyetle karşılanacaktır.
Zeit raporuna göre, Tschirsich daha önce hasta verilerine erişmek için bir hasta kimliğine güvenebiliyordu. Yaygın ve kolayca önlenebilir bir güvenlik açığı. Ona göre uygulama çok profesyonelce geliştirilmemiş. Ancak Monks, günlük dosyalarını kontrol ettikten sonra, Tschirsich dışındaki kişilerin verilere yetkisiz erişim elde etme olasılığını ortadan kaldırabilir.
Altta yatan güvenli bir dijital altyapı yok
Tschirsich, yeni doktor muayenehanelerinin ve hastaların kimliklerinin doğrulanmamasını daha ciddi olarak açıklıyor. Nedeni “iyi bilinen”, yorum olarak Twitter’da zamanın gönderisi. Sağlık sisteminin dijitalleştirilmesi için “serbestçe erişilebilir ve güvenli temel dijital altyapılar” eksikliği var. test, aşılama ve iyileşme sertifikaları”, Federal Meclis güvenlik araştırmacısının 2021 yazından itibaren yaptığı açıklamayı (PDF) zaten okuyor.
Dijital kimliklerin bulunmaması nedeniyle, saldırganların bir muayenehanede ve hatta bir muayenehanede hasta kılığına girmesi mümkündür. Ancak Monks, şimdiye kadar bununla ilgili herhangi bir sorun olmadığına dikkat çekiyor. Kayıt için gerekli olan olağan verilere ek olarak, kayıt için bir sigorta numarası da gereklidir. Ocak 2023’te sağlık sigortası BT hizmet sağlayıcısı Bitmarck’a yapılan saldırıdan sonra olduğu gibi bu verilerin bazı bölümlerinin darknet’te veya veri hırsızları forumlarında bulunabileceğini kabul etti.
Doktorlar genellikle tanıdıkları hastalarla iletişim kursa da, Monk’un şirketi şu anda sigortalının kimliğini doğrulamak için yeni bir yöntem üzerinde çalışıyor. Monks ayrıca, suçluların yüzbinlerce hesap arasında olabilecek sahte hesaplar aracılığıyla gizli hasta verilerine erişmelerinin pek olası olmadığına inanıyor. Doktorlar genellikle hastalarını kişisel olarak tanırlar. Diğer bir kritik güvenlik açığı, güvenlik anahtarının poliçe sahiplerine e-posta ile gönderilmesiydi. 22 Mayıs’ta yapılan bir uygulama güncellemesinden sonra bu artık mümkün değil, uygulamanın anahtarı yalnızca yerel olarak akıllı telefona kaydedilebilir.
Doktor muayenehanesinde kontrol edilmesi bekleniyor
Monks, güvenlik araştırmacısından gelen bilgiler için minnettar. Tabip birlikleri ile birlikte, sigortalıların kimliğini teyit edecek yeniliklere karar vermiştir. Gelecekte, hasta tanımlaması, poliçe sahipleri uygulamayı indirecek ve varsayılan olarak “doğrulanmamış” olarak listelenecek şekilde yapılmalıdır. Sigortalı kişi, geçici bir QR kodu kullanarak kendini yalnızca doktorun muayenehanesinde doğrulayabilir. Sigortalılar muayenehanede QR kodu alırlar. Muayenehaneler, uygulamayı kullanmadan önce iki kez kontrol edildiğinden ve yalnızca çevrimiçi doktor üyeliklerini değil, aynı zamanda profesyonel kurul numaralarını da ifşa etmek zorunda olduklarından, üçüncü bir kişinin fark edilmeden bir muayenehaneyi taklit etmesinin imkansız olduğuna inanıyor.
Doctolib gibi diğer sağlayıcıların aksine, Monks herhangi bir veri toplamaz ve üçüncü taraflara sattığı fark edilmemiştir. Şirketi yatırımcılar tarafından yönetilmiyor. O zamanlar, 20 yıl önce, doktorlara bir internet platformu sunmak istiyordu.
(mak)
Haberin Sonu