Kaos Bilgisayar Kulübü (CCC), yeni kurulan Takuta GmbH tarafından desteklenen randevu hizmeti sağlayıcısı Dubidoc'ta bir boşluk buldu. Takuta o zamandan beri yaklaşık bir milyon hasta kaydına erişime izin veren güvenlik açığını kapattı ve “böyle bir olayın tekrar yaşanmasını önlemek için önlemler aldı.” Kuzey Ren-Vestfalya (LDI NRW) Veri Koruma ve Bilgi Edinme Özgürlüğünden Sorumlu Eyalet Komiseri sözcüsü Daniel Strunk bunu çevrimiçi olarak duyurdu. Şirket şimdi müşterilerini veri sızıntısı konusunda bilgilendirdi.
Reklamcılık
Strunk'a göre kamuya açık veriler arasında e-posta adresleri, şifreler, telefon numaraları, ad ve soyadı, cinsiyet, doğum tarihi, akraba bilgileri ve randevu tarihleri yer alıyor. Veri sızıntısı sırasında PHP çerçevesi “Symfony”nin profil oluşturucusu aktifti ve hata ayıklama bilgileri görülüyordu. Bunlar veritabanı için kullanıcı adı ve şifreyi içeriyordu. Canlı bir ortamda etkin bir hata ayıklayıcı önemli bir hatadır.
Veritabanı erişiminde kısıtlama yok mu?
Ayrıca veritabanına internet üzerinden de erişilebiliyordu. CCC, “Maalesef, uygulamanın 'saygın bir sağlayıcı' tarafından yönetilen bir sunucuda barındırılması nedeniyle bu ücretsiz veritabanı erişiminin kısıtlanamayacağını söylüyor. Bu, doğru olsa bile, elbette bir mazeret değil” yorumunu yapıyor. .
Ayrıca verilere CCC dışında başkalarının erişip erişmediği de belli değil. Strunk, “Diğer üçüncü tarafların verilere erişiminin olup olmadığını kontrol etmek için hangi önlemlerin alındığına ilişkin soruyla ilgili hâlâ bir açıklama bekliyoruz” diyor. Takuta'ya Haberler online'dan gelen talebe yanıt hâlâ beklemede.
Sağlık hizmeti start-up'larındaki güvenlik açıkları
Sağlık sektöründeki start-up'larda sürekli olarak güvenlik açıkları yaşanıyor. Yaklaşık bir yıl önce, bir güvenlik araştırmacısı, yine sorumluların açıklamasına uygun olarak, doktor randevu hizmeti portalında bir güvenlik açığı olduğunu bildirmişti. Ancak aradaki fark ancak aylar sonra ve Haberler online'dan gelen sorular sonrasında kapandı. Depresyon uygulamaları gibi dijital sağlık uygulamalarında da her zaman güvenlik açıkları vardır.
(mack)
Haberin Sonu
Reklamcılık
Strunk'a göre kamuya açık veriler arasında e-posta adresleri, şifreler, telefon numaraları, ad ve soyadı, cinsiyet, doğum tarihi, akraba bilgileri ve randevu tarihleri yer alıyor. Veri sızıntısı sırasında PHP çerçevesi “Symfony”nin profil oluşturucusu aktifti ve hata ayıklama bilgileri görülüyordu. Bunlar veritabanı için kullanıcı adı ve şifreyi içeriyordu. Canlı bir ortamda etkin bir hata ayıklayıcı önemli bir hatadır.
Veritabanı erişiminde kısıtlama yok mu?
Ayrıca veritabanına internet üzerinden de erişilebiliyordu. CCC, “Maalesef, uygulamanın 'saygın bir sağlayıcı' tarafından yönetilen bir sunucuda barındırılması nedeniyle bu ücretsiz veritabanı erişiminin kısıtlanamayacağını söylüyor. Bu, doğru olsa bile, elbette bir mazeret değil” yorumunu yapıyor. .
Ayrıca verilere CCC dışında başkalarının erişip erişmediği de belli değil. Strunk, “Diğer üçüncü tarafların verilere erişiminin olup olmadığını kontrol etmek için hangi önlemlerin alındığına ilişkin soruyla ilgili hâlâ bir açıklama bekliyoruz” diyor. Takuta'ya Haberler online'dan gelen talebe yanıt hâlâ beklemede.
Sağlık hizmeti start-up'larındaki güvenlik açıkları
Sağlık sektöründeki start-up'larda sürekli olarak güvenlik açıkları yaşanıyor. Yaklaşık bir yıl önce, bir güvenlik araştırmacısı, yine sorumluların açıklamasına uygun olarak, doktor randevu hizmeti portalında bir güvenlik açığı olduğunu bildirmişti. Ancak aradaki fark ancak aylar sonra ve Haberler online'dan gelen sorular sonrasında kapandı. Depresyon uygulamaları gibi dijital sağlık uygulamalarında da her zaman güvenlik açıkları vardır.
(mack)
Haberin Sonu