พบช่องโหว่ในเว็บไซด์ทางการแพทย์ทำให้ข้อมูลของผู้ป่วยหลุดออกมา

security blogger ชื่อดัง Brian Krebs ได้มีการบอกเล่าเรื่องการที่เว็บไซด์ทางด้านสุขภาพนั้นไม่ปลอดภัยทำให้ตัวเค้าเองสามารถดูข้อมูลของคนไข้คนอื่นได้

Brian เล่าว่าเค้าได้รับผลสุขภาพจาก lab ผ่านช่องทาง “True Health Diagnostics” มาตลอด 2 ปี โดยจัดทำโดยบริษัท Frisco ซึ่งเป็นบริษัทที่อยู่ใน Texas มีการให้บริการในการติดตามผลสุขภาพของผู้ป่วยอยู่ตลอดเพื่อตรวจจับและจัดการโรคที่เรื้อรัง ซึ่งมีช่องทางให้สามารถเข้าไปดูผลจาก lab ได้ผ่าน website portal เพื่อดูผล lab ในลักษณะ pdf ได้

ประเด็นคือ link PDF ดังกล่าวดันถูกสร้างมาแบบ sequence number กล่าวคือเราสามารถกดดู pdf ของคนอื่นได้ด้วยการเปลี่ยน URL  ที่มี ID ของ PDF เราอยู่เป็นตัวเลขอื่นเท่านั้น ซึ่งทำให้กลายเป็นว่าสามารถดูประวัติของผู้ป่วยอื่นได้เลยนั่นเอง

ซึ่งเมื่อทาง Brian ได้แจ้งไปให้กับ True Health ไปแล้ว แลทาง True Health ก็ได้ตระหนักถึงช่องโหว่ จึงได้สั่งการปิดการให้บริการของ healthcare data portal อีกทั้งตอนนี้ทาง True Health  ได้ลองสืบต่อว่าช่องโหว่นี้มีมาตั้งแต่เมื่อไหร่กันแน่เพื่อประเมิณความเสียหายที่เกิดข้นครับ

โดย Alex Holden จาก Hold Security ได้กล่าวว่าบริษัทไม่ควรใช้ sequence number มาเป็นตัวสร้าง link สำหรับ PDF อีกทั้งควรจะมีการยืนยัน username, password ทุกๆครั้งที่มีการพยายามเข้าถึงข้อมูลที่สำคัญ อีกทั้งข้อมูลสำคัญใดๆควรจะถูกเข้ารหัสอีกด้วย

Source:: GrahamCluley