Главная
Уязвимость в стоматологическом ПО раскрыла медицинские данные пациентов

Уязвимость в стоматологическом ПО раскрыла медицинские данные пациентов

kmsenaoКомментарии закрыты!

Компания Practice by Numbers, разработчик программного обеспечения для управления стоматологическими клиниками, устранила критическую уязвимость в своем пациентском портале. Ошибка безопасности позволяла посторонним лицам получать доступ к конфиденциальным медицинским записям. Программные продукты компании используются более чем в 5 000 стоматологических кабинетов.

Суть обнаруженной проблемы

Инцидент стал известен после того, как один из пациентов при просмотре собственных записей обнаружил возможность доступа к документам других пользователей. По результатам проверки выяснилось, что любой авторизованный пользователь портала мог видеть чужие медицинские файлы, включая личную информацию, истории болезней и копии удостоверений личности.

Метод эксплуатации уязвимости оказался предельно простым. Для получения доступа к конфиденциальным данным требовалось лишь изменить идентификационный номер документа в адресной строке браузера. Поскольку номера присваивались последовательно, подбор ID других пациентов не составлял труда.

Трудности при передаче информации об ошибке

В отчетах отмечается, что компания длительное время не реагировала на попытки сообщить об уязвимости. Канал связи, указанный на официальном сайте, оказался нерабочим — электронные письма возвращались с ошибкой доставки. Обращения к руководству через социальные сети также оставались без ответа. Проблема была решена только после вмешательства профильных СМИ.

Для устранения бреши в безопасности компания предприняла следующие шаги:

  • Временное отключение пациентского портала для проведения технических работ.
  • Анализ серверных логов для оценки масштаба утечки.
  • Исправление алгоритма доступа к документам в веб-интерфейсе.

Последствия и реакция компании

Технический директор Practice by Numbers Крис Лау сообщил, что, согласно внутреннему расследованию, из-за ошибки были скомпрометированы данные менее десяти человек. Компания совместно с клиниками-партнерами начала процесс уведомления затронутых пользователей. По заявлениям разработчиков, признаков массового копирования данных до момента обнаружения бага выявлено не было.

Несмотря на инцидент, руководство компании не уточнило, проходил ли программный продукт независимый аудит безопасности перед запуском. В индустрии разработки ПО, работающего с медицинскими данными, такие проверки считаются стандартом отрасли. В Practice by Numbers пообещали в будущем добавить на сайт форму для сообщений об уязвимостях, однако конкретные сроки реализации этой функции не называются.


Понравилась запись? Поделись с друзьями и поддержи сайт: