একটি রোগী পোর্টাল বাগ ডেন্টাল প্র্যাকটিসগুলোর রেকর্ড ফাঁস করেছে

TechCrunch-এর মতে, United States-এ 5,000-এরও বেশি প্র্যাকটিসে ব্যবহৃত ডেন্টাল অফিস ম্যানেজমেন্ট সফটওয়্যারের ডেভেলপার Practice by Numbers তাদের পোর্টালের মাধ্যমে রোগীর রেকর্ড ফাঁস করে দেওয়া একটি নিরাপত্তা ত্রুটি ঠিক করেছে। এই সমস্যা শনাক্ত করেন এক রোগী, যিনি নিজের ডেন্টাল ফাইল দেখতে পোর্টালটি ব্যবহার করছিলেন।

রিপোর্ট অনুযায়ী, বাগটি লগইন করা একজন রোগীকে অন্য রোগীদের নথি অ্যাক্সেস করতে দিত। ফাঁস হওয়া ফাইলগুলোর মধ্যে ব্যক্তিগত তথ্য, চিকিৎসা-ইতিহাস, ফটো পরিচয়পত্র এবং অন্যান্য নথি ছিল বলে জানানো হয়েছে। যেহেতু ত্রুটিটি নথি কীভাবে উদ্ধার করা হচ্ছিল তা প্রভাবিত করেছিল, তাই যে রোগী এটি খুঁজে পেয়েছিলেন তিনি বলেন, তার নিজের ফাইলও অন্যদের কাছে উন্মুক্ত হয়ে থাকতে পারে।

সংবেদনশীল পরিণতিযুক্ত, সহজে কাজে লাগানো যায় এমন একটি সমস্যা

রিপোর্ট হওয়া দুর্বলতাটি শুধু স্বাস্থ্যসংক্রান্ত তথ্য জড়িত ছিল বলেই নয়, বরং এটি কাজে লাগানো খুবই সহজ ছিল বলেও উল্লেখযোগ্য। TechCrunch বলেছে, রোগীটি দেখেন যে ওয়েব ঠিকানায় একটি নথির নম্বর বদলে দিলে অন্য ফাইল দেখা যেতে পারে। ওই নথি নম্বরগুলো ধারাবাহিক বলেও মনে হচ্ছিল, যা ইঙ্গিত দেয় যে অতিরিক্ত কষ্ট ছাড়াই অন্য রেকর্ড অনুমান করা যেতে পারে।

এই সংমিশ্রণটি গুরুত্বপূর্ণ। গভীর প্রযুক্তিগত দক্ষতা দরকার এমন একটি ত্রুটি যথেষ্ট বিপজ্জনক, কিন্তু সাধারণ পোর্টাল ব্যবহারকারীও পুনরুত্পাদন করতে পারে এমন ত্রুটি আরও বিস্তৃত ঝুঁকি তৈরি করে। এই ক্ষেত্রে, সিস্টেমে অ্যাক্সেস পেতে বৈধ রোগী লগইন ছাড়া বিশেষ কোনো টুল বা অভ্যন্তরীণ সুবিধা দরকার ছিল বলে মনে হয়নি।

NASA
More in News

নাসার X-59 নীরব সুপারসনিক উড়ানের জন্য গুরুত্বপূর্ণ পরীক্ষা-পর্যায় পেরিয়েছে

নাসার পরীক্ষামূলক X-59 Mach 1.4 এবং 55,000 ফুট উচ্চতায় পৌঁছেছে, আর সংস্থাটি এখন শব্দ-যাচাই এবং পরবর্তী কমিউনিটি ওভারফ্লাইটের প্রস্তুতি নিচ্ছে.

Read article

রোগীটি তা জানাতে হিমশিম খাওয়ার পরেই সমাধান আসে

রোগীটি বলেন, তিনি প্রথমে ইমেল করে এবং পরে LinkedIn-এর মাধ্যমে সরাসরি কোম্পানিকে সতর্ক করার চেষ্টা করেছিলেন, কিন্তু TechCrunch-এর সঙ্গে যোগাযোগ করার আগে কোনো উত্তর পাননি। আউটলেটটি জানায়, কোম্পানির প্রকাশিত ইমেল ঠিকানা বার্তাগুলো undeliverable হিসেবে ফেরত দিচ্ছিল, ফলে দায়িত্বশীল প্রকাশের জন্য কোনো পরিষ্কার পথ ছিল না।

এই বিষয়টি বাগটির মতোই গুরুত্বপূর্ণ। ঘটনাটি ভোক্তা ও ব্যবসায়িক সফটওয়্যারে বারবার দেখা একটি সমস্যাকে তুলে ধরে: কোম্পানিগুলো নিয়মিতভাবে ব্যবহারকারীদের সংবেদনশীল তথ্য তাদের হাতে তুলে দিতে বলে, কিন্তু অনেকেরই এখনও নিরাপত্তা সমস্যা রিপোর্ট করার জন্য দৃশ্যমান, কার্যকর কোনো চ্যানেল নেই। যিনি একটি ত্রুটি খুঁজে পান তিনি যদি সঠিক টিমে পৌঁছানোর পথ না পান, তাহলে উন্মুক্ত থাকার সময়টি প্রয়োজনের তুলনায় বেশি দীর্ঘ হয়।

ভোক্তাদের হাতে ধরা পড়া দুর্বলতার বিস্তৃত ধারা

TechCrunch ঘটনাটিকে এমন এক বৃহত্তর প্রবণতার অংশ হিসেবে তুলে ধরেছে, যেখানে পেশাদার গবেষকদের বদলে সাধারণ ব্যবহারকারীরাই দৈনন্দিন পণ্যে গুরুতর নিরাপত্তা সমস্যা খুঁজে পাচ্ছেন। প্রতিবেদনে অন্য কোম্পানির অনুরূপ ঘটনাও উল্লেখ করা হয়েছে, যেখানে ব্যবহারকারী বা গবেষকদের নজর কাড়তে বেগ পেতে হয়েছে, তারপর গণমাধ্যমের সম্পৃক্ততায় পদক্ষেপ নেওয়া হয়েছে।

এই ধারা দেখায় যে নিরাপত্তা-পরিবেশ বদলাচ্ছে। খুচরা অর্ডার থেকে শুরু করে স্বাস্থ্য প্রশাসন পর্যন্ত সফটওয়্যার এখন দৈনন্দিন সেবার অংশ, এবং ওই সিস্টেমগুলোর সঙ্গে যুক্ত মানুষরাই প্রায়ই প্রথম বুঝতে পারেন যে কিছু ভুল হয়েছে। নিয়ন্ত্রিত বা অত্যন্ত ব্যক্তিগত তথ্য সামলানো সংস্থাগুলোর এখন সেই ব্যবহারকারীরা কথা বললে শোনার মতো কার্যকর শৃঙ্খলা গড়ে তোলা দরকার।

Cropped image of Stained glass window showing Eilmer, installed in Malmesbury Abbey in 1920
More in News

একটি ধূমকেতুর রহস্য মধ্যযুগীয় সন্ন্যাসী আইলমারের সময়রেখা নতুন করে লিখতে পারে

একটি নতুন ঐতিহাসিক যুক্তি বলছে, মাল্মসবারির আইলমার 989 সালে হ্যালির ধূমকেতু নয়, বরং 1018 সালের আবির্ভাব দেখেছিলেন, যা তাঁর বয়স এবং বিখ্যাত উড়ান সম্পর্কে অনুমান বদলে দেয়.

Read article

স্বাস্থ্যসেবা সফটওয়্যারে কেন এটি গুরুত্বপূর্ণ

ডেন্টাল সফটওয়্যার হাসপাতাল সিস্টেম বা জাতীয় বীমাকারীদের মতো একই মাত্রার নজর কেড়ে না নিলেও, প্র্যাকটিস পোর্টালে থাকা তথ্য খুবই সংবেদনশীল হতে পারে। চিকিৎসার ইতিহাস, পরিচয়পত্র এবং চিকিৎসা-সংক্রান্ত রেকর্ড সবই একটি রোগী অ্যাকাউন্টে থাকতে পারে। তাই অ্যাকাউন্টের সীমা অতিক্রমকারী ত্রুটি একসঙ্গে গোপনীয়তা, আস্থা এবং সম্ভাব্য কমপ্লায়েন্স ঝুঁকি তৈরি করে।

মূল প্রতিবেদনে কতজন রোগী প্রভাবিত হয়েছেন তা নির্দিষ্ট করা হয়নি, এবং Practice by Numbers-এর ফিক্সটি মনে হচ্ছে নির্দিষ্ট ওই বাগটি বন্ধ করে দিয়েছে। তবু ঘটনাটি দেখায়, একটি ওয়েব পোর্টালে একটি মাত্র অনুমোদনজনিত ভুল কীভাবে একটি সাধারণ ডকুমেন্ট ভিউয়ারকে বহু ব্যবহারকারীকে একসঙ্গে প্রভাবিত করা গোপনীয়তা-ফাঁসের পরিস্থিতিতে পরিণত করতে পারে।

ঘটনাটি কী ইঙ্গিত দেয়

তাৎক্ষণিক গল্পটি সহজ: একজন রোগী একটি ত্রুটি খুঁজে পেলেন, সেই ত্রুটিতে অন্য রোগীদের রেকর্ড ফাঁস হল, এবং বিষয়টি জনসমক্ষে আসার পর কোম্পানি তা ঠিক করল। বড় শিক্ষা হলো, নিরাপত্তা শুধু কোডে প্যাচ দেওয়ার বিষয় নয়। এতে স্পষ্ট ইনটেক পথ, কাজ করা যোগাযোগ চ্যানেল, এবং এমন প্রক্রিয়াও দরকার যা অনিচ্ছাকৃত বাগ রিপোর্টকে শব্দ নয়, বরং কার্যকর অগ্রাধিকার হিসেবে ধরে।

আরও বেশি স্বাস্থ্য-সংলগ্ন সেবা যখন রোগীমুখী ওয়েব অ্যাপের মাধ্যমে চলবে, এই পার্থক্য আরও গুরুত্বপূর্ণ হবে। কোম্পানিগুলো আবিষ্কারের পর বাগ বন্ধ করতে পারে, কিন্তু ব্যবহারকারীরা যখন জানেন যে ত্রুটি এবং রিপোর্টিং ব্যবস্থা দুটোই একই সময়ে ব্যর্থ হয়েছে, তখন আস্থা পুনর্গঠন করা আরও কঠিন হয়ে যায়।

এই নিবন্ধটি TechCrunch-এর প্রতিবেদনের ভিত্তিতে লেখা। মূল নিবন্ধটি পড়ুন.

Anthropic logo on an orange and grey background.
More in News

Anthropic নিষেধাজ্ঞা নিয়ে প্রতিবেদন AI নিরাপত্তা, রপ্তানি ও রাজনীতিকে সংঘাতের মুখে ফেলেছে

একটি প্রতিবেদনে বলা হয়েছে, অ্যামাজনের গবেষণা এবং সিইও Andy Jassy-র হোয়াইট হাউসের সঙ্গে কথোপকথন এমন রপ্তানি নিয়ন্ত্রণকে উসকে দিয়েছিল, যা বিদেশি নাগরিকদের জন্য Anthropic-এর Fable 5 এবং Mythos 5 মডেলের প্রবেশাধিকার বন্ধ করে দেয়।

Read article

Originally published on techcrunch.com