hadicanim
Aktif Üye
Rehabilitasyon kliniklerinde veri sızıntısı: Yüz binlerce hasta etkilendi
Masif veri sızıntısı potansiyel olarak Almanya genelinde Çar rehabilitasyon kliniklerinin yüz binlerce hastasını etkiler. Diğer şeylerin yanı sıra, son derece hassas tıbbi raporlar mevcuttu. Almanya'daki en büyük ayakta tedavi rehabilitasyon hizmetleri sağlayıcısına göre, etkilenen rehabilitasyon merkezleri Nanz Medico'nun çatısının altındadır. Toplam 39 rehabilitasyon kliniği içerir.
Reklamcılık
Hastaların tüm tarihleri ”Zar Pat” uygulamasının haftalık listesinde listelenmiştir.
(Resim: Nanz Medico GmbH & Co. KG)
Konuma bağlı olarak, Çar-Rehabilitasyon Merkezleri ortopedi, nöroloji, kardiyoloji, onkoloji ve psikosomatik için terapi seçenekleri sunmaktadır. Zar Pat adlı bir uygulama, hasta ve rehabilitasyon merkezi arasında iletişim kurmak için kullanılır ve hastaların gündüz ve haftalık planları tedavinin bir parçası olarak kolayca görebileceği. Sadece uygulamanın Android sürümü 100.000'den fazla indirildi.
Ancak, konfor istemeden yüksek bir fiyata sahipti: uygulamanın bir kullanıcısı internetle şifrelenmemiş iletişim kurduğunu fark etti ve programlarını sunucudan düz dilde çağırdı. Uygulamalar için ulaşım şifrelemesi (TLS) kullanımı, yıllarca ve ilkel güvenlik önlemlerinden biri için bir standart olmuştur.
Analiz uygulamasından ekran görüntüsü, taşıma şifrelemesinin olmadığını göstermektedir.
(Resim: muhbir)
Hack bilgisi verileri göstermek için gerekli değildi, herhangi bir aktarım noktasında bağlantılara bir göz atmak, örneğin doğrudan akıllı telefonda PCAPDroid analiz uygulamasıyla bir göz atmak yeterliydi. Güvenlik önlemlerinin de aşılması gerekmemiştir. Her üçte biri korunmasız düz metin bağlantılarını, örneğin internet sağlayıcısı veya genel ağlardaki diğer kullanıcıları kolayca görüntüleyebilirdi.
Özellikle hassas bilgilerin takdir edilmesi
Ancak bu sadece başlangıçtı: uygulamanın tarihleri yüklediği sunucunun URL'sini çağırırken, bir web tarayıcısında, bilgiler otomatik olarak sunucuda iletildi. Bu yollar altında, erişim kontrolü olmayan kişisel verilerin korunmasız düz metin bağlantısı aracılığıyla devam edilmesi için kullanılabilir.
Bunlar arasında sadece ad, soyadı ve doğum tarihi gibi kişisel veriler değil, aynı zamanda rehabilitasyon tesislerinde belgelenen kurslar ve tedavinin bir parçası olarak kaydedilen ayrıntılı tıbbi raporlar, örneğin psikosomatik tedavide vardı. hastalıklar. Bu, yaşam koşulları ve sağlık anayasası hakkında hassas bilgiler içeriyor, bu raporda: “Psikoterapötik görüşmelere baktığımda, çocukluğa geriye bakmak oldukça heyecanlıydı, şimdi tekrar ortaya çıkan birçok şeyi başarıyla değiştirdi”.
Tanılara ilişkin içgörü mümkündür.
Veri sızıntısının kapsamı önemlidir: tek başına konumlardan biri 80.000'den fazla hastadan veri vermiştir. Veriler yıllarca geriye gidiyor. Şimdiye kadar, ne zaman erişimin mümkün olduğu ve verilere kim erişebileceği belirsizdir.
Uygulamada veri sızıntısı belgelenmiş
Bilgilendiricimiz, güvenlik sorununu derhal Federal Bilgi Teknolojisi Ofisi'ne (BSI) ve tıbbi kayıtlarında bile belgelenen rehabilitasyon kliniğine hemen dahil oldu. İronik bir şekilde bunu veri sızıntısı temelinde anlayabildi: “Hasta beni aradı ve uygulamaya dayalı bir veri koruma ihlali buldu: Zar-Pat. BSI'ye doğrudan bir mesaj yaptı, ancak o zaman zaten bilgilendirdim kendim.
Düdüğümüzde ayrıca daha fazla güvenlik sorunları buldu, ancak kapsamlı erişim seçeneğinden erişim koruması veya taşıma şifrelemesi olmadan son derece hassas patent tarihlerine kadar en büyük riskti. Yanlış ellerde, veriler etkilenenlerde önemli hasara neden olabilir.
Görünüşe göre klinik, ana şirketi Nanz Medico GmbH & Co. KG'ye önemli nota aktardı ve bu da daha sonra veri erişimini hızlı bir şekilde önleyebildi. O zamandan beri, veriler iletildi ve bir hata mesajı ile hassas bilgilere harici erişim önleniyor.
Şirket güvenlik ayarlarını genişletiyor
Haberler çevrimiçi ve zaten 22 Ocak'ta Nanz Medico'dan büyük veri sızıntısı hakkında yorum yapmasını istedi. Şirket daha sonra şunları söyledi: “Bu bilginin satın alınmasıyla, BT hizmet sağlayıcısı hemen devreye alındı ve hemen boşlukları kapatmak için test tarafından durduruldu. Bunlar dün öğleden sonra giderildi, boşluklar kapatıldı ve mevcut güvenlik ayarları genişledi.” Veri drenajları veya manipülasyonlar hakkında bilgi mevcut olmaz, etkilenenlerin sayısı veya sorumlu veri koruma otoritelerine bilgilendirilip bildirilmediği gibi, kendi tarafımızla ilgili başka sorular cevaplanmamıştır.
GDPR gereksinimlerine göre, veri sızıntısı rapor edilebilir bir olay olmalıdır. Madde 33 GDPR'ye göre, sorumlu olanlar sorumlu denetim otoritesini olay hakkında 72 saat içinde bilgilendirmelidir. Eğer “doğal kişilerin kişisel hakları ve özgürlükleri yüksek bir riski” olduğu sonucuna varırsanız, etkilenen herkesin de bilgilendirilmesi gerekir (Madde 34 GDPR). Sorumlu kişi bu gereksinimleri karşılamıyorsa, hassas para cezaları tehdit eder.
“Veri drenlerine referans yok”
İkinci talebimiz bile, olaydan bir hafta sonra, Nanz Medico sadece kısmen cevap verdi: “Dış güvenlik uzmanları, ilgili yasal ve güvenlik standartlarını dikkate alarak gerekli tüm sınavları yürüttüğü için, bunun vicdanlı bir gerektirdiğini anlamanızı istiyoruz. ve dikkatli bir prosedür var. Bu, sunucu günlüklerine göre hemen okunmalıdır.
Ayrıca, sorularımız, şirketin değerlendirmesindeki veri sızıntısından hangi konumlar, kaç hasta ve hangi verilerin etkilendiği konusunda cevapsız kalmıştır. Sorgulamalarımızın da gösterdiği gibi, sorumlu devlet veri koruma görevlileri de bilgilendirilmiş gibi görünmüyordu.
Zar, her durum için rehabilitasyon fırsatları sunar.
(Resim: Nanz Medico GmbH & Co. KG)
Birçok C'T-inverigative araştırma, sadece notlardan gelen anonim bilgiler sayesinde mümkündür.
Halkın öğrenmesi gereken bir şikayetin farkındaysanız, bize bilgi ve materyal gönderebilirsiniz. Lütfen anonim ve güvenli posta kutumuzu kullanın.
Yükleniyor…
Haber
(Mack)