मरीज पोर्टल के एक बग ने डेंटल प्रैक्टिसों में रिकॉर्ड उजागर कर दिए

TechCrunch के अनुसार, United States में 5,000 से अधिक प्रैक्टिसों में इस्तेमाल होने वाले डेंटल ऑफिस मैनेजमेंट सॉफ़्टवेयर के डेवलपर Practice by Numbers ने अपने पोर्टल के जरिए मरीजों के रिकॉर्ड उजागर करने वाली एक सुरक्षा खामी को ठीक कर दिया है। यह समस्या एक मरीज ने पहचानी, जो अपने खुद के डेंटल फ़ाइलों को देखने के लिए पोर्टल का इस्तेमाल कर रहा था।

रिपोर्ट के अनुसार, इस बग ने लॉग-इन किए हुए एक मरीज को अन्य मरीजों के दस्तावेज़ों तक पहुंचने की अनुमति दी। उजागर हुई फ़ाइलों में कथित तौर पर व्यक्तिगत जानकारी, चिकित्सा इतिहास, फोटो पहचान-पत्र और अन्य दस्तावेज़ शामिल थे। क्योंकि यह खामी दस्तावेज़ों को पुनः प्राप्त करने के तरीके को प्रभावित कर रही थी, इसे खोजने वाले मरीज ने कहा कि संभवतः उसके अपने फ़ाइलें भी दूसरों के सामने उजागर हुई होंगी।

संवेदनशील नतीजों वाली एक आसानी से दुरुपयोग की जा सकने वाली समस्या

रिपोर्ट की गई यह कमजोरी इसलिए भी उल्लेखनीय थी क्योंकि इसमें सिर्फ स्वास्थ्य जानकारी शामिल नहीं थी, बल्कि इसका दुरुपयोग करना भी बहुत आसान था। TechCrunch ने बताया कि मरीज ने पाया कि वेब पते में एक दस्तावेज़ नंबर बदलने से दूसरी फ़ाइलें दिखाई दे सकती थीं। ये दस्तावेज़ नंबर क्रमिक भी प्रतीत हो रहे थे, जिससे यह संभावना बनी कि अन्य रिकॉर्ड भी बिना अधिक कठिनाई के अनुमान लगाए जा सकते थे।

यह संयोजन महत्वपूर्ण है। ऐसी खामी जिसके लिए गहरी तकनीकी कुशलता चाहिए, वह निश्चित रूप से खतरनाक होती है, लेकिन जिसे कोई सामान्य पोर्टल उपयोगकर्ता भी दोहरा सके, वह कहीं बड़ा जोखिम क्षेत्र बना देती है। इस मामले में, सिस्टम तक पहुंच के लिए वैध मरीज लॉगिन के अलावा किसी विशेष उपकरण या अंदरूनी विशेषाधिकार की जरूरत नहीं लग रही थी।

NASA
More in News

NASA के X-59 ने शांत सुपरसोनिक उड़ानों से पहले अहम परीक्षण चरण पूरे किए

NASA के प्रायोगिक X-59 ने Mach 1.4 और 55,000 फीट की ऊँचाई हासिल की, जबकि एजेंसी ध्वनिक सत्यापन और बाद की समुदाय-उड़ानों की तैयारी कर रही है.

Read article

मरीज के रिपोर्ट करने में कठिनाई के बाद ही सुधार आया

मरीज ने बताया कि उसने कंपनी को सीधे सूचित करने की कोशिश की, पहले ईमेल से और फिर LinkedIn के जरिए, लेकिन TechCrunch से संपर्क करने से पहले उसे कोई जवाब नहीं मिला। आउटलेट ने बताया कि कंपनी का सार्वजनिक ईमेल पता संदेशों को undeliverable लौटा रहा था, जिससे जिम्मेदार प्रकटीकरण के लिए कोई स्पष्ट रास्ता नहीं बचा।

यह विवरण लगभग उतना ही महत्वपूर्ण है जितना बग स्वयं। यह घटना उपभोक्ता और व्यावसायिक सॉफ़्टवेयर में बार-बार सामने आने वाली एक समस्या को दर्शाती है: कंपनियां नियमित रूप से उपयोगकर्ताओं से संवेदनशील डेटा अपने भरोसे सौंपने के लिए कहती हैं, लेकिन कई के पास सुरक्षा समस्याओं की रिपोर्ट करने के लिए अभी भी कोई दिखाई देने वाला, काम करने वाला चैनल नहीं होता। जब खामी देखने वाला व्यक्ति सही टीम तक पहुंचने का रास्ता नहीं खोज पाता, तो जोखिम की अवधि जितनी होनी चाहिए उससे अधिक बनी रहती है।

उपभोक्ताओं द्वारा खोजी गई कमजोरियों का व्यापक पैटर्न

TechCrunch ने इस घटना को उस व्यापक प्रवृत्ति का हिस्सा बताया जिसमें पेशेवर शोधकर्ताओं के बजाय सामान्य उपयोगकर्ता रोज़मर्रा के उत्पादों में गंभीर सुरक्षा समस्याएं ढूंढ रहे हैं। रिपोर्ट में ऐसे ही मामलों का उल्लेख किया गया जिनमें अन्य कंपनियों के उपयोगकर्ताओं या शोधकर्ताओं को कार्रवाई से पहले ध्यान आकर्षित कराने में संघर्ष करना पड़ा, और फिर मीडिया की पहुंच के बाद कदम उठाया गया।

यह पैटर्न बताता है कि सुरक्षा पारिस्थितिकी तंत्र बदल रहा है। सॉफ़्टवेयर अब रिटेल ऑर्डर से लेकर स्वास्थ्य प्रशासन तक, रोज़मर्रा की सेवाओं में समाहित हो चुका है, और इन प्रणालियों से जुड़ने वाले लोग अक्सर सबसे पहले यह नोटिस करते हैं कि कुछ गड़बड़ है। विनियमित या अत्यंत व्यक्तिगत डेटा संभालने वाले संगठनों को अब यह परिचालन अनुशासन विकसित करने की जरूरत है कि जब ऐसे उपयोगकर्ता आवाज़ उठाएं, तो उनकी बात सुनी जाए।

Cropped image of Stained glass window showing Eilmer, installed in Malmesbury Abbey in 1920
More in News

एक धूमकेतु का रहस्य मध्ययुगीन भिक्षु एइलमर की समयरेखा को फिर से लिख सकता है

एक नया ऐतिहासिक तर्क कहता है कि माल्म्सबरी के एइलमर ने 989 में हैली के धूमकेतु के बजाय 1018 के धूमकेतु को देखा हो सकता है, जिससे उनकी अनुमानित आयु और प्रसिद्ध उड़ान के बारे में आकलन बदल जाता है।

Read article

स्वास्थ्य सॉफ़्टवेयर में यह क्यों मायने रखता है

डेंटल सॉफ़्टवेयर को अस्पताल प्रणालियों या राष्ट्रीय बीमा कंपनियों जैसी उतनी ध्यानाकर्षक श्रेणी नहीं माना जाता, लेकिन प्रैक्टिस पोर्टल में संग्रहीत जानकारी फिर भी बहुत संवेदनशील हो सकती है। चिकित्सा इतिहास, पहचान दस्तावेज़ और उपचार रिकॉर्ड सभी एक मरीज खाते में दिखाई दे सकते हैं। इसलिए खातों की सीमाओं को पार करने वाला दोष एक ही कदम में गोपनीयता, भरोसे और संभावित अनुपालन जोखिम पैदा कर देता है।

स्रोत रिपोर्ट यह नहीं बताती कि कितने मरीज प्रभावित हुए, और Practice by Numbers के फिक्स ने प्रतीत होता है कि उस विशिष्ट बग को बंद कर दिया है। फिर भी यह मामला दिखाता है कि वेब पोर्टल में प्राधिकरण की एक छोटी-सी गलती कैसे एक सामान्य दस्तावेज़ व्यूअर को ऐसी गोपनीयता-उल्लंघन स्थिति में बदल सकती है, जो एक साथ कई उपयोगकर्ताओं को प्रभावित करे।

यह घटना क्या संकेत देती है

तत्काल कहानी सीधी है: एक मरीज ने एक खामी खोजी, उस खामी ने अन्य मरीजों के रिकॉर्ड उजागर किए, और सार्वजनिक ध्यान में आने के बाद कंपनी ने समस्या ठीक कर दी। बड़ा सबक यह है कि सुरक्षा सिर्फ कोड पैच करने के बारे में नहीं है। इसमें स्पष्ट इनटेक पथ, काम करने वाले संपर्क चैनल, और ऐसी प्रक्रियाएं भी शामिल हैं जो अनचाही बग रिपोर्टों को शोर नहीं बल्कि परिचालन प्राथमिकता मानती हैं।

जैसे-जैसे अधिक स्वास्थ्य-संबंधी सेवाएं मरीजों के सामने आने वाले वेब ऐप्स के जरिए संचालित होंगी, यह अंतर और महत्वपूर्ण होगा। कंपनियां खोज के बाद बग बंद कर सकती हैं, लेकिन जब उपयोगकर्ताओं को पता चलता है कि खामी और रिपोर्टिंग सिस्टम दोनों एक ही समय पर विफल हुए, तो भरोसा फिर से बनाना कठिन हो जाता है।

यह लेख TechCrunch की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.

Anthropic logo on an orange and grey background.
More in News

Anthropic प्रतिबंध रिपोर्ट ने AI सुरक्षा, निर्यात और राजनीति को टकराव की राह पर ला दिया

एक रिपोर्ट के अनुसार Amazon के शोध और CEO Andy Jassy की व्हाइट हाउस से बातचीत ने ऐसे निर्यात नियंत्रणों को जन्म देने में मदद की, जिनके चलते विदेशी नागरिकों की Anthropic के Fable 5 और Mythos 5 मॉडलों तक पहुंच बंद हो गई।

Read article

Originally published on techcrunch.com