Archer Health Veri Sızıntısı 23 GB Tıbbi Kaydı Açığa Çıkardı

Archer Health Inc. hastalarına ait çok sayıda tıbbi ve kişisel bilgi, şifreleme veya parola koruması olmayan bir veritabanının çevrimiçi olarak bulunmasının ardından kamuya açık hale getirildi. Archer Health Inc., aynı zamanda Archer Home Health olarak da bilinen, Kaliforniya merkezli bir evde sağlık hizmeti ve palyatif bakım hizmeti sağlayıcısıdır.

İlk olarak siber güvenlik araştırmacısı Jeremiah Fowler tarafından tespit edilen ve Website Planet'e bildirilen ifşa, binlerce kişiyi riske atabilecek son derece hassas dosyaları içeriyordu.

Veritabanında, boyutları 23 gigabayta kadar ulaşan 145.000'den fazla dosya bulunuyordu. Belgeler arasında hasta değerlendirmeleri, evde sağlık sertifikaları, bakım planları, taburcu formları ve dahili yazışmalar yer alıyordu.

Bunların çoğu ad, Sosyal Güvenlik numarası (SSN), adres, telefon numarası, hasta kimlik numarası ve tıbbi bilgiler gibi kişisel bilgiler içeriyordu. Bazı klasörler hasta adlarıyla etiketlenmişti, bazıları ise "faksla gönderilen siparişler" veya "sevkler" gibi kategoriler içeriyordu; bu da verilerin hassas niteliğini daha da doğruluyordu.

Dosyalarda ayrıca, planlama ayrıntılarını, sağlayıcı bilgilerini ve hasta kayıtlarını gösteren sağlık yönetimi yazılımı panolarının ekran görüntüleri de yer alıyordu. Bu tür ifşalar, kimlik hırsızlığı, dolandırıcılık ve HIPAA gibi tıbbi gizlilik düzenlemelerinin ihlali gibi önemli riskler taşıyabilir.

Fowler, durumu doğrudan şirkete bildirdi ve veritabanına erişim birkaç saat içinde kısıtlandı. Archer Health, bildirimi kabul ederek hasta gizliliğini ciddiye aldığını ve ekibinin konuyu araştırdığını belirtti.

Veritabanının ne kadar süreyle açıkta kaldığı veya güvenli hale getirilmeden önce kayıtlara yetkisiz kişilerin erişip erişmediği henüz belirsizliğini koruyor. Ancak bu gibi olaylar, sağlık verilerinin uygun güvenlik kimlik doğrulaması olmadan saklanmasının sürekli riskler taşıdığını gösteriyor.

Archer Health bilgilendirildikten sonra hızlı bir şekilde harekete geçse de, kayıtları ifşaya dahil edilen hastaların tanımlayıcıları veya tıbbi geçmişleri kötü niyetli tehdit aktörleri tarafından erişilirse veya veritabanı çevrimiçiyken kopyalanırsa, bu hastalar uzun vadeli sonuçlarla karşı karşıya kalabilir.

Ayrıca, bir sağlık hizmeti sağlayıcısı veya ilgili bir hizmet hassas verileri korumada başarısız olduğunda ciddi yasal risklerle karşı karşıya kalabilir. İlgili bir örnekte, Florida merkezli IMDataCenter'a ait yanlış yapılandırılmış bir Amazon Web Services (AWS) kovası kamuya açık hale getirildi ve "ThinkingOne" adlı bir bilgisayar korsanının isimler, e-postalar, adresler ve hatta Sosyal Güvenlik numaraları da dahil olmak üzere onlarca gigabaytlık kaydı indirmesine neden oldu.

Buna karşılık, IMDataCenter veri sızıntısı nedeniyle bir davanın hedefi haline geldi. Archer Health de benzer bir incelemeyle karşı karşıya kalırsa, özellikle sağlık ve kişisel bilgileri düzenleyen yasalar olmak üzere gizlilik ve veri koruma yasaları kapsamında iddialarla karşı karşıya kalabilir.