Η Practice by Numbers, ο δημιουργός ενός λογισμικού διαχείρισης ασθενών που χρησιμοποιείται σε χιλιάδες οδοντιατρεία, διόρθωσε ένα ελάττωμα ασφαλείας που αποκάλυψε τα ιδιωτικά αρχεία υγείας των ασθενών σε μια πύλη που συνοδεύεται από το λογισμικό, σύμφωνα με το TechCrunch.
Ένας ασθενής, ο Joseph R. Cox, ανέφερε το σφάλμα στο TechCrunch αφού αντιμετώπισε το πρόβλημα κοιτάζοντας τα δικά του οδοντιατρικά αρχεία στην πύλη, η οποία προσφέρθηκε από το οδοντιατρείο του.
Αυτή η πύλη ασθενών είναι μέρος ενός λογισμικού διαχείρισης οδοντιατρείου που δημιουργήθηκε από την Practice by Numbers, το οποίο αξιώσεις Τα προϊόντα της χρησιμοποιούνται σε περισσότερα από 5.000 οδοντιατρεία στις Ηνωμένες Πολιτείες.
Ο Cox είπε ότι το σφάλμα επέτρεπε σε κάθε χρήστη της πύλης, η οποία φιλοξενεί ιατρικά έγγραφα και αρχεία υγείας ασθενών, να έχει πρόσβαση σε έγγραφα που ανήκουν σε άλλους ασθενείς. Είπε ότι ήταν σε θέση να έχει πρόσβαση σε έγγραφα άλλων ασθενών από τον λογαριασμό του, συμπεριλαμβανομένων των προσωπικών τους στοιχείων, του ιατρικού ιστορικού, της ταυτότητας με φωτογραφία και άλλων αρχείων. Το σφάλμα σήμαινε επίσης ότι τα αρχεία του Cox ήταν εξίσου εκτεθειμένα σε άλλους ασθενείς.
Ο Cox είπε ότι προσπάθησε να ειδοποιήσει την εταιρεία για το ζήτημα μέσω email, αλλά δεν έλαβε απάντηση. Στη συνέχεια ειδοποίησε το TechCrunch ως έσχατη λύση για να ζητήσει από την εταιρεία να διορθώσει το σφάλμα.
Το σφάλμα ήταν εξαιρετικά εύκολο να το εκμεταλλευτεί κανείς με σύνδεση στο Practice by Numbers’ πύλη ασθενών. Ο Cox είπε ότι η αλλαγή του αριθμού εγγράφου στη διεύθυνση ιστού κατά τη φόρτωση ενός από τα έγγραφά του στην πύλη επέτρεψε στους χρήστες να έχουν πρόσβαση στα αρχεία άλλων ασθενών.
Ακόμη χειρότερα, ο Cox είπε ότι οι αριθμοί των εγγράφων στη διεύθυνση ιστού φαίνεται να είναι διαδοχικά αυξητικοί, επομένως θα μπορούσε να είναι δυνατό να μαντέψει κανείς εύκολα τους αριθμούς των εγγράφων των ιατρικών αρχείων άλλων ανθρώπων.
Ο Cox είπε στο TechCrunch ότι αντιμετώπισε δυσκολίες να ειδοποιήσει την Practice by Numbers για το ζήτημα, καθώς η εταιρεία δεν πρόσφερε καμία διακριτή οδό για να αναφέρει προβλήματα ασφάλειας. Η διεύθυνση email της εταιρείας στον ιστότοπό της ήταν σπασμένη, με τα email που επιστράφηκαν ως μη παραδοτέα. Αντίθετα, ο Cox έστειλε ένα μήνυμα σε έναν από τους ιδρυτές της εταιρείας στο LinkedIn, αλλά δεν άκουσε τίποτα μετά την αποστολή ενός επόμενου email.
Το πρόβλημα, το οποίο επιδιορθώθηκε τώρα, υπογραμμίζει μια πρόσφατη τάση κατά την οποία οι τακτικοί καταναλωτές βρίσκουν ελαττώματα ασφαλείας σε προϊόντα ή ιστότοπους εταιρειών, αλλά δεν έχουν σαφή τρόπο να αναφέρουν το πρόβλημα στους προγραμματιστές.
Νωρίτερα τον Απρίλιο, ο λιανοπωλητής μόδας Express διόρθωσε ένα σφάλμα ιστότοπου που επέτρεπε σε οποιονδήποτε να έχει πρόσβαση στις λεπτομέρειες παραγγελίας και στα προσωπικά στοιχεία άλλων πελατών, αφού ένας χρήστης εντόπισε το σφάλμα, αλλά δεν βρήκε τρόπο να ειδοποιήσει την εταιρεία. Ένα παρόμοιο περιστατικό αφορούσε το Home Depot τον Δεκέμβριο: Ένας ερευνητής ασφαλείας προσπάθησε να ειδοποιήσει ιδιωτικά την εταιρεία σχετικά με ένα σφάλμα ασφαλείας που αποκάλυπτε την πρόσβαση στα εσωτερικά της συστήματα για σχεδόν ένα χρόνο, αλλά οι αναφορές τους αγνοήθηκαν έως ότου η TechCrunch επικοινώνησε με την εταιρεία.
Δεδομένου ότι το ελάττωμα ασφαλείας έθετε ενεργά σε κίνδυνο τα δεδομένα των ασθενών, η TechCrunch ειδοποίησε την Practice by Numbers για το ζήτημα στις 13 Απριλίου. Η εταιρεία κατέβασε την πύλη ασθενών της για να διορθώσει το σφάλμα και την επανέφερε στο διαδίκτυο στις 17 Απριλίου.
Η Practice από τον συνιδρυτή και επικεφαλής τεχνολογίας της Numbers, Chris Lau, είπε στο TechCrunch ότι η εταιρεία είχε διορθώσει την ευπάθεια και ότι ειδοποιούσε λιγότερους από 10 ασθενείς ότι οι πληροφορίες τους εκτέθηκαν λόγω του σφάλματος, επικαλούμενοι τα αρχεία καταγραφής διακομιστή της.
Η εταιρεία είπε ότι συνεργάζεται με το επηρεαζόμενο οδοντιατρείο για να ειδοποιήσει τους πληγέντες ασθενείς. Ο Lau είπε ότι η εταιρεία δεν είχε εντοπίσει στοιχεία προηγούμενης δραστηριότητας που σχετίζεται με το σφάλμα, υποδηλώνοντας ότι ο Cox ήταν πιθανότατα ο πρώτος που το βρήκε.
Ο Cox επιβεβαίωσε ότι το σφάλμα φαίνεται να έχει διορθωθεί.
Όταν ρωτήθηκε από το TechCrunch, ούτε η Lau ούτε η Practice από τον συνιδρυτή και πρόεδρο της Number, Rohit Garg, θα απαντούσαν εάν η πύλη ασθενών της εταιρείας είχε υποβληθεί σε έλεγχο ασφαλείας πριν από την κυκλοφορία της. Οι εταιρείες συνήθως υποβάλλονται σε ελέγχους ασφαλείας για να διασφαλίσουν ότι τα προϊόντα τους πληρούν τα πρότυπα κυβερνοασφάλειας και ότι είναι απαλλαγμένα από κοινά ελαττώματα ασφαλείας προτού οι πελάτες αρχίσουν να τα χρησιμοποιούν.
Αν και κανένα λογισμικό δεν είναι ποτέ εντελώς χωρίς σφάλματα, οι εταιρείες που χειρίζονται ευαίσθητες πληροφορίες, όπως δεδομένα υγειονομικής περίθαλψης, συνήθως αναζητούν κριτικές τρίτων για τον κώδικά τους για να εξαλείψουν τυχόν σημαντικά ελαττώματα ασφαλείας.
Όταν ρωτήθηκε εάν η Practice by Numbers σχεδιάζει να ενημερώσει τον ιστότοπό της για να επιτρέψει στους ερευνητές ασφαλείας να ειδοποιούν την εταιρεία για ελαττώματα ασφαλείας, όπως μέσω ενός προγράμματος αποκάλυψης ευπάθειας, ο Garg είπε ότι η εταιρεία σχεδιάζει να ενημερώσει τον ιστότοπό της για να επιτρέπει στους χρήστες να αναφέρουν ζητήματα ασφάλειας. Η εταιρεία δεν προσέφερε χρονοδιάγραμμα.
Όταν αγοράζετε μέσω συνδέσμων στα άρθρα μας, ενδέχεται να κερδίσουμε μια μικρή προμήθεια. Αυτό δεν επηρεάζει τη συντακτική μας ανεξαρτησία.
VIA: techcrunch.com
