افشای اطلاعات 50 هزار بیمار در بیمارستان اسرائیل

به گزارش کارگروه بین‌الملل سایبریان؛ به گفته کارشناسان، بزرگ‌ترین بیمارستان خصوصی رژیم صهیونیستی، مرکز پزشکی هرتزلیا (Herzliya Medical Center)، به طور ناخواسته اطلاعات حداقل 50 هزار اسرائیلی را به عنوان بخشی از وب‌سایت آزمایشی جدیدی که روی آن کار می‌کند، فاش کرد.

این مرکز، به ارزش 1.5 میلیارد شِکِل، در حال آزمایش یک سیستم جدید تعیین وقت قرار است و بدین منظور یک وب‌سایت نمایشی ایجاد کرد. روني ساچوفسکی (Roni Suchowski)، محقق ارشد سايبري و مؤسس «CISO Helper»، در این خصوص گفت :

«هنگام استفاده از نرم‌افزار اسكن شبكه، به يكي از وب‌سايت ‌هاي آنها رسيدم و صفحه ورود به سيستم وجود داشت. من سعی کردم برای ورود به شوخی از کلمه ادمین (admin) استفاده کنم و در واقع کار کرد. من توانستم وارد شوم. از آنجا که این سایت آزمایشی بود، هیچ مکانیزم دفاعی واقعی مانند یک سیستم احراز هویت ورود به سیستم اولیه نداشت.»

با این وجود، کارشناسان معتقدند که از داده‌های بسیار واقعی بیماران واقعی استفاده کرد. در حقیقت، اطلاعات شخصی حدود 50 هزار نفر در سیستم تغذیه شده و بنابراین می‌توان به راحتی به آنها دسترسی پیدا کرد.

ساچوفسکی به طور تصادفی با سایت توسعه یافته از سوی مرکز پزشکی همراه با شرکتی به نام وان (ONE) آشنا شد. این وب‌سایت خالی به نظر می‌رسید، اما با جستجوی ساچوفسکی، صفحه‌ای مختص آمار مشخص شد که از طریق آن داده‌ها قابل مشاهده بودند.

وی خاطرنشان کرد :

«آنها داده‌های واقعی را از وب‌سایت در حال اجرا در سایت نمایشی خود بارگذاری کردند؛ در واقع هر چند دقیقه یکبار به‌روزرسانی می‌شود.»

داده‌های فاش شده شامل نام بیماران، شماره شناسه آنها و در برخی موارد، درمان‌هایی است که دریافت کرده‌اند (به عنوان مثال، آزمایش ویروس کرونا). با وجود این، کارشناسان ادعا کردند که بارگیری داده‌ها غیرممکن بود و احتیاج به احراز هویت مناسب داشت.

نکته دیگری که ساچوفسکی هنگام جستجو در محل آزمایش کشف کرد، لیستی از نام کاربری و رمزهای عبور بود که به‌وسیله بیمارستان خصوصی برای دسترسی به خدمات دیگر استفاده می‌شد؛ به عنوان مثال، وی اطلاعات ورود به سیستم ارسال پیامک جمعی را، که بیمارستان برای ارسال پیام به بیماران از آن استفاده می‌کند، پیدا کرد. این کشف بدان معنی است که او و دیگران می‌توانند از سرویس پیامک به نام بیمارستان استفاده و برای مثال پیام‌هایی ارسال کنند که درخواست پرداخت می‌کند.

با این حال، شاید بزرگ‌ترین حفره کشف شده، استفاده از سایت نمایشی برای دسترسی به پایگاه داده اصلی بیمارستان بود. این محقق ارشد سايبري مدعی شد که واقعاً وارد شده، اما آن را به عنوان خطری بزرگ برای مرکز پزشکی و افراد تحت درمان عنوان کرد.

ساچوفسکی توضیح داد :

«من کار کردن این گذرواژه‌های مختلف را آزمایش نکردم؛ این نقض خطوط اخلاقی من خواهد بود. با این حال به نظر می‌رسد همه این خدمات مختلف قابل دسترسی هستند. سایت نمایشی فقط 2 هفته فعال بوده، بنابراین امیدوارم به موقع آن را دریافت کرده باشم.»

او این کشف را به عنوان بخشی از جنگ 100 روزه برای افزایش آگاهی امنیت سایبری انجام داد. ساچوفسکی روزانه در مورد خلأها و سوءاستفاده‌های مختلف کشف شده توییت می‌کند.

این حفره به‌وسیله روزنامه اسرائیلی هارتز (Haaretz ) بیان شد، اما بنابر ادعای کارشناسان، مرکز پزشکی آن را برطرف کرد و دیگر فعال نیست.

مرکز پزشکی هرتزلیا در پاسخ ادعا کرد :

«این یک سیستم برای تعیین قرارهای ملاقات است که ما با همکاری ONE ایجاد کرده‌ایم و این نسخه نمایشی را تنها به منظور نمایش سیستم بارگذاری کرد. نسخه نمایشی روی سروری متفاوت به جای سرور مورد استفاده ما برای بیمارستان یا سرورهایی استفاده شده از سوی ONE میزبانی می‌شود. یک خطای انسانی در سیستم نمایشی منجر به افشای مواردی نظیر نام، شماره شناسه و سایر داده‌ها در مورد بازدیدکنندگان قبلی وب‌سایت می‌شود. هیچ گونه هک یا نقض درمورد سیستم‌های ما وجود ندارد و ما از تمام پروتکل‌های استاندارد امنیتی پیروی می‌کنیم.»

این مرکز پزشکی ادامه داد :

«لحظه کشف مشکل، سیستم از سایت خارج شد و همه گذرواژه‌ها تغییر کردند تا اطمینان حاصل شود که افشایی صورت نگرفته است. ما در حال بررسی خطا هستیم، زیرا این مورد نادر بود و می‌توان از آن درس گرفت تا دیگر تکرار نشود.»