Bir sağlık şirketinin verileri açığa çıktı. Perakende eczane zinciri olan CVS Pharmacy'nin sahibi olan sağlık şirketi CVS Health'le bağlantılı veri tabanı hakkında kritik araştırma yapıldı. Bu araştırmada verilerin çok da güvenli bir şekilde saklanmadığı belirlendi. Şirketten siber güvenlik saldırısına ilişkin ilk açıklama gecikmedi.
1 Milyardan Fazla Sağlık Verisi Tehlikedeydi
Siber güvenlik araştırmacısı Jeremiah Fowler öncülüğünde geçtiğimiz günlerde yapılan bir çalışmada CVS Health'e ait bir veri tabanındaki güvenlik açığı ortaya çıkarıldı. Veri tabanı şifre ve benzeri yollarla korunmuyordu, izinsiz erişimi engellemek adına herhangi bir kimlik doğrulama yöntemine başvurulmamıştı.
Şirketin veri tabanını inceleyen araştırma ekibi, CVS Pharmacy ve Aetna gibi şirketlerin arkasındaki isim olan Amerika Birleşik Devletleri merkezli şirket CVS Health ile bağlantılı bir milyardan fazla veri olduğunu tespit etti.
Araştırmacılara göre veri tabanının boyutu 204 GB civarındaydı. Bu veriler ziyaretçilerin faaliyetlerini, oturum bilgilerini, erişim sağlamak için kullandığı cihazı (örneğin şirketle bağlantılı web sitelerini ziyaret eden kişilerin bir iPhone mu yoksa Android telefon kullandığı) içeriyordu.
Belirtilen verilerin içerisinde ayrıca CVS Health ile bağlantılı ilaçlara (COVID-19 aşıları ve çeşitli CVS ürünleri) dair veriler de vardı.
Yukarıdaki bilgilerin hemen hemen her web sitesi tarafından toplandığını bilmek, bu verilerin yayılmasında hiçbir sakınca olmadığını düşünmenize yol açabilir fakat araştırmacılara göre oturum boyunca aratılan veya alışveriş sepetine eklenenler ile eşleştirme yolu ile müşterileri tanımlamak mümkün olabilirdi.
Siber güvenlik araştırmacıları, herhangi bir kimlik doğrulama yöntemi ile korunmayan veri tabanının kimlik avında kullanılma riskinin olduğunu belirtti. Şirketin rakiplerinin de veri tabanında yer alan verilere ulaşmış ve bu verilerden faydalanmış olma ihtimali var.
CVS Health, ZDNet'e yaptığı açıklamada bu yılın mart ayında bir güvenlik araştırmacısının konu hakkında kendilerini bilgilendirdiğini, araştırmaların derhal yapıldığını ve veri tabanının müşterilerin, üyelerin ya da hastaların herhangi bir kişisel bilgisini içermediğinin belirlendiğini söyledi. Veri tabanındaki güvenlik açığını hızlıca kapatmak için uzmanlarla beraber çalıştıklarını belirten şirket, onları bu konuda bilgilendiren araştırmacılara da teşekkür etti.
Şirketin veri tabanındaki açık, hastaların bilgilerini riske atacak kadar ileri seviyede bir açık olmasa da özellikle sağlık sektöründe yer alan şirketlerin bu tür güvenlik açıklarına dikkat etmesi büyük öneme sahip.
YORUMLAR