Intro

The GüvenlikDedektifler siber güvenlik ekibi, Japon tıbbi Soru-Cevap hizmetini etkileyen bir veri ifşasını ortaya çıkardı doktorlar ben.

Doctors Me, müşterilere isteğe bağlı olarak profesyonel tıbbi tavsiyeye erişim sağlayan bir web sitesidir.

Şirkete ait bir Amazon S3 kovası, uygun erişim yetkilendirmesi ve kimlik doğrulama kontrolleri olmadan açık bırakılarak yaklaşık 12,000 kişinin hassas verileri açığa çıktı.

Doctors Me, Covid-19 salgını sırasında hızlı büyüme gösteren bir endüstrinin parçası. Online konsültasyon hizmetleri daha yaygın hale geldikçe, kovanın içeriği, hastaların tıbbi platformlar aracılığıyla paylaştıkları görüntüler konusunda dikkatli olmaları gerektiğini gösteriyor.

Doctors Me'nin içeriğinde özellikle çocukların resimleri yer alıyor ve bu da bu veri ihlaliyle ilişkili daha fazla risk oluşturuyor.

Doktorlar Ben kim?

Doctors Me, Tokyo, Japonya merkezli özel bir şirkettir. Şirket, bir tıp uzmanından danışmanlık almak için kullanıcıların rahatsızlıklarının, hastalıklarının veya diğer çeşitli rahatsızlıklarının resimlerini isimsiz olarak yüklemelerine olanak tanıyan bir web sitesi olan doktor-me.com'u işletmektedir.

Doctors Me, sağlık ve esenliğin her alanında tıp uzmanları sağlar: Doktorlar, eczacılar, beslenme uzmanları, diş hekimleri ve danışmanlar. Site, hastalıkların ve semptomların listeleri, bir Soru-Cevap bölümü, bir blog ve genel tıbbi durumlar için bir sağlık kontrol listesi de dahil olmak üzere, ziyaretçilerin tıbbi durumlarını kendilerinin değerlendirmesine yardımcı olan diğer içerik biçimlerini içerir.

Doctors me, ayda 324 JPY (~3 USD) ile 540 JPY/ay (~5 USD) arasında ödeme planları sunan uygun fiyatlı bir hizmettir. Site, aylık yaklaşık 70,000 web ziyaretçisiyle de popülerdir (Crunchbase'e göre).

Açık kovanın içeriğiyle birlikte şirkete yapılan çeşitli referanslar, bunun Doctors Me'ye ait olduğuna dair kanıt sağlar.

Neler Ortaya Çıktı?

Toplamda, Doctors Me'nin yanlış yapılandırılmış Amazon S3 klasörü, yaklaşık 300,000 GB veriye eşit olan 30'den fazla dosyayı açığa çıkardı.

Bu veriler, doktor-me.com tarafından sunulan isteğe bağlı danışmanlık hizmetlerinden yararlanan müşterilere aittir.

Özellikle, güvenli olmayan kova şunları içeriyordu: semptomların fotoğrafları kullanıcılar tarafından yüklendi. Onbinlerce bu dosyalardan bazıları pakette bulunabilirdi; 12,000'den fazla resim benzersizdi.

Belirtilerin fotoğrafları maruz kalan formları hassas müşteri verileri:

• tıbbi durumların görüntüleri (kullanıcıların veya bakmakla yükümlü oldukları kişilerin); döküntüler, yaralar, diş sorunları, dışkı ve daha fazlası dahil;
• yüz görüntüleri; çoğu çocuk olan semptom görüntülerine dahil edildi;
• hayvan resimleri; semptom görüntülerine dahil edilmiş olsa da, bu dosyalar nadirdi.

Kovada saklanan tüm dosyalar isimsiz olarak yüklendi, ancak bazı durumlarda kişiler yüzlerinin resimlerinden tanınabiliyor.

Doctors Me'nin Amazon S3 kovası yayındaydı ve keşif sırasında güncelleniyordu. Kepçeyi uygun şekilde güvenceye almak, Doctors Me'nin sorumluluğundaydı ve bu nedenle, bu veri ifşasında Amazon hiçbir şekilde hatalı değil

Aşağıda bu görüntülerin kanıtlarını görebilirsiniz. Uyarı: Görüntüler grafik içerik içerir.

Bir bebeğin yüzündeki kızarıklık görüntüsü

Bir kullanıcı tarafından yüklenen bir ayak durumu

Bir kullanıcının ağzının resmi (dil hastalığı)

Bazı hayvanlar da kovada bulunur

Doctors Me bir Japon şirketidir ve bu nedenle, açık paketteki verilerin çoğunluğunun Japon vatandaşlarına ait olduğunu varsayıyoruz.

Pakette depolanan benzersiz dosya sayısına dayanarak, bu veri maruziyetinden etkilenen yaklaşık 12,000 kullanıcı olduğunu tahmin ediyoruz.

Doctors Me'nin veri maruziyetinin tam bir dökümü aşağıdaki tabloda mevcuttur.

Açık Amazon S3 kovasını 11 Kasım 2021'de keşfettik. Aynı gün Doctors Me'ye bir mesaj gönderdik.

21 Kasım 2021'de Doctors Me'ye bir takip mesajı gönderdik ve ayrıca Japon Bilgisayar Acil Müdahale Ekibine (CERT) ulaştık. 25 Kasım 2021'de Japonca CERT'ye tekrar mesaj gönderdik ve AWS'ye Doctors Me'nin paketiyle ilgili bir mesaj gönderdik. Japon CERT bize kovanın sahibine ulaşacaklarını söyledi. 15 Aralık 2021 ve 10 Ocak 2022'de Japon CERT'ye takip mesajları gönderdik. 11 Ocak 2022'de yanıt vererek AWS ile iletişime geçtiklerini bildirdiler.

Doctors Me, müşterileri ve paketin içeriğine dahil olan diğer kişiler, bu veri ihlali sonucunda çeşitli etkilerle karşılaşabilir.

Veri İhlal Etkisi

Kötü niyetli kişilerin Amazon paketinin içeriğine açıkken erişip erişmediğini bilemeyiz ve bilmiyoruz.

Ancak, kötü niyetli kişilerin görüntüleri görmesi veya indirmesi durumunda, Doctors Me'nin paketiyle ilgili çeşitli riskler olabilir. Maruz Kalmış Doktorlar Me kullanıcıları ve maruz kalan tüm çocuklar suç biçimleriyle karşılaşabilir.

Bu arada, Doctors Me, yanlış yapılandırılmış kovası nedeniyle yasal yaptırımlarla karşı karşıya kalabilir.

Müşteriler Üzerindeki Etki

Müşteriler, gizlilik ihlali, şantaj ve müstehcen görüntülerin olası dağıtımıyla karşı karşıya kalabilir.

Gizlilik İhlali

Suçlular, potansiyel olarak Doctors Me müşterilerini ve yüzleri veya benzersiz tanımlanabilir özellikleri (yani benzersiz dövmeler) kutuda resmedilmiş olan diğer bağımlıları tanımlayabilir. Bilgisayar korsanları, tıbbi resimlerinden birinin birden fazla platforma (yani sosyal medya siteleri veya tıbbi forumlar) yüklenip yüklenmediğini de belirleyebilir.

Açık AWS S3 paketi bu nedenle kullanıcıların gizliliğini ihlal eder. Hassas tıbbi bilgilerin ifşa edilmesi, kullanıcıların günlük yaşamları üzerinde ciddi etkiler yaratabilir.

Maruz kalan bir kişi tıbbi durumu hakkında utanmış ve endişeli hissedebilir ve başkalarının öğrenmesi durumunda alay konusu olabilir ve itibarı zedelenebilir. Bazı durumlarda, hassas tıbbi verilerin ifşa edilmesi, nihayetinde birinin kişisel ilişkilerini, flört hayatını ve iş fırsatlarını etkileyebilir.

Herhangi bir kötü aktör Doctors Me'nin açık kovasını bulursa, maruz kalan kullanıcılara şantaj yapılabilir.

Şantaj

Tıbbi bir durum, ilgili kişi için son derece özel ve çoğu zaman utanç verici bir konudur. Kova, grafik rahatsızlıkların son derece kişisel resimlerini içerir - Doctors Me müşterilerinin kendilerine saklamak isteyebilecekleri bilgiler ve haklı olarak. Doctors Me'nin web sitesini "anonim hizmet" olarak tanımlamasının nedeni budur.

Konsültasyon sunan tıp uzmanlarının, resimlerde yer alan bireyleri belirlemekle herhangi bir ilgisi olmayabilir. Ancak bir suçlu, kovadaki kullanıcıları savunmasız hedefler olarak görebilir.

Kötü aktörler, kullanıcıları tespit edebilir ve her kullanıcının tıbbi durumunun mahremiyetini kullanarak onları para için zorlayabilir.

Örneklerde buna dair hiçbir kanıt görmesek de, Doctors Me'nin kovası, çıplaklık görüntülerini ve kullanıcıların vücutlarının özel alanlarını içerebilir. Yine, suçlular bu içeriğin gizliliğini, kullanıcıları para için şantaj yapmak için kullanabilir.

Spesifik olarak, suçlular kimliği belirlenebilir kullanıcıları şantajla hedef alabilir ve suçluya parasal bir ücret ödenmediği takdirde özel görüntüleri dağıtmakla tehdit edebilir.

Maruz kalan Küçüklerin Fotoğraflarının Dağılımı 

Kova ayrıca çocukların resimlerini ve semptomlarını içerir. Bazen, bu görüntüler tıbbi bir durumu göstermek için çocuğun vücudunun özel bölgelerini gösterir.

Ne yazık ki, açıkta kalan küçüklerin varlığı, yırtıcıların kovanın içeriğiyle ilgilenebileceğini gösteriyor. Avcılar, bu görüntüleri indirmek veya dağıtmak için paketin içeriğine erişebilir.

Bebekler ve çocuklar genellikle o kadar küçüktür ki tüm vücutları ve yüzleri tek bir resme sığar. Örneğin, bir bebeğin karnındaki kızarıklık resmi, çocuğun yüzünü de gösterebilir. Bu, rahatsız edici bir şekilde, resmedilen birçok çocuğun kovanın üzerinde tanımlanabileceği anlamına gelir. Bir yırtıcı, bu bilgileri çocukları takip etmek veya çevrimiçi alanın dışında daha fazla hasara neden olmak için kullanabilir.

Doktorların Ben Üzerindeki Etkisi

Japonya'nın veri koruma yasası, Kişisel Bilgilerin Korunması Yasası (APPI). APPI'de belirtilen yasal çerçeve, aşağıdakiler tarafından yönetilir: Kişisel Bilgileri Koruma Komisyonu (PIPC).

APPI, kuruluşların Japon vatandaşlarının kişisel olarak tanımlanabilir bilgilerini (PII) ve hassas verilerini düzgün ve güvenli bir şekilde işlemesini, depolamasını ve dağıtmasını talep eder. Bu mevzuatın herhangi bir ihlali, “bilgi işleyici” için yaptırım ve/veya ceza ile sonuçlanabilir.

PIPC, herhangi bir suçlu çalışanı bir yıla kadar hapis cezası veya 1 milyon JPY (yaklaşık 9,000 USD) para cezası ile cezalandırabilir. PIPC, şirketin APPI'de belirtilen düzenleyici yönergeleri ihlal ettiğini tespit ederse, Doctors Me'ye maksimum 100 milyon JPY (yaklaşık 900,000 USD) para cezası verebilir.

Herhangi bir düzenleyici yaptırım veya cezaya ek olarak, veri özneleri (yani bilgileri ifşa edilmiş Japon vatandaşları), veri kaybından veya ifşa edilmesinden kaynaklanan herhangi bir zarar için tazminat talep etme hakkına sahiptir.

Verilere Maruz Kalmayı Önleme

Kullanıcılar verilerini güvende tutmak için hangi adımları atabilir? Ve bir veri ihlalinin potansiyel olarak zarar verici sonuçlarını azaltmak için ne yapılabilir?

Eyleme geçirilebilir bazı ipuçlarını listelemeden önce, tıbbi konsültasyon platformlarının kullanıcılarının özel önlemler almaları gerektiğini belirtmeliyiz - bu platformlar hassas içerik gerektirir ve giderek daha yaygın hale gelirler.

Hastalar, isim etiketleri veya kişisel kimlikler gibi tanımlanabilir bilgileri hayal etmekten kaçınmalı ve hastalar mümkünse kendi (veya çocuğunun) yüzünü hayal etmekten kaçınmalıdır. Hastalar, konsültasyon için gerekli olmayan mahrem görüntüleri içermemelidir.

Verilerin açığa çıkmasını önlemek için birkaç genel ipucu:

• Kişisel bilgilerinizi yalnızca %100 güvendiğiniz kişilere, kuruluşlara veya kuruluşlara verin.
• Yalnızca güvenli etki alanına sahip web sitelerini ziyaret edin (yani, alan adlarının başında “https” ve/veya kapalı kilit sembolü bulunan web siteleri).
• Sosyal güvenlik numaranız gibi en önemli kişisel bilgilerinizi verirken dikkatli olun.
• Bir web sitesi tarafından istenen minimum miktarda veri sağlayın, örneğin yaşınızı doğrulamak için taranan bir kimlik gerekiyorsa, resminizi göndermeden önce adres verilerini, kimlik numaralarını ve son kullanma tarihlerini bulanıklaştırın.
• Harfler, sayılar ve simgelerden oluşan bir kombinasyon kullanan süper güvenli parolalar oluşturun. Mevcut şifrelerinizi düzenli olarak güncelleyin.
• Kaynağın yasal olduğundan emin olmadığınız sürece, bir e-postadaki (veya internetteki herhangi bir yerdeki) bir bağlantıya tıklamayın.
• Sosyal medya sitelerinde gizlilik ayarlarınızı düzenleyin. İçeriğinizin yalnızca arkadaşlarınız ve güvenilir kullanıcılar tarafından görülebildiğinden emin olun.
• Güvenli olmayan bir WiFi ağına bağlıyken önemli kişisel bilgi biçimlerini (kredi kartı numaraları veya parolalar gibi) görüntülemeyin veya yazmayın.
• Siber suçlar, veri koruma ve kimlik avı saldırıları ve kötü amaçlı yazılım riskini azaltmak için atabileceğiniz ek adımlar hakkında kendinizi eğitin.

Hakkımızda

SafetyDetectives.com dünyanın en büyük antivirüs inceleme web sitesidir.

SafetyDetectives araştırma laboratuvarı, kurumları kullanıcılarının verilerini nasıl koruyacakları konusunda eğitirken, çevrimiçi topluluğun kendisini siber tehditlere karşı savunmasına yardımcı olmayı amaçlayan ücretsiz bir hizmettir. Web haritalama projemizin genel amacı, interneti tüm kullanıcılar için daha güvenli bir yer haline getirmeye yardımcı olmaktır.

Önceki raporlarımız, çok sayıda yüksek profilli güvenlik açığını ve veri sızıntısını gün ışığına çıkarmıştı. Amerikan sosyal analiz platformu IGBladeetkileyen bir sızıntının yanı sıra Brezilyalı Yazılım şirketi WSpot yüz binlerce müşteri dosyasını açığa çıkardı.

Son 3 yıldaki SafetyDetectives siber güvenlik raporlarının tam bir incelemesi için aşağıdaki adresi izleyin:  SafetyDetectives Siber Güvenlik Ekibi.

• Akıllı para. Avrupa'nın En İyi Bitcoin ve Kripto Borsası.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. SERBEST ERİŞİM.
• KriptoHawk. Altcoin Radarı. Ücretsiz deneme.
• Kaynak: https://www.safetydetectives.com/news/doctorsme-leak-report/