रुग्ण पोर्टलमधील बगमुळे दंत उपचार संस्थांमधील नोंदी उघड झाल्या

United States मधील 5,000 हून अधिक दंत उपचार संस्थांमध्ये वापरल्या जाणाऱ्या दंत कार्यालय व्यवस्थापन सॉफ्टवेअरचे विकसक Practice by Numbers यांनी आपल्या पोर्टलमधून रुग्णांच्या नोंदी उघड करणारी एक सुरक्षा त्रुटी दुरुस्त केल्याचे TechCrunch ने सांगितले. ही समस्या एका रुग्णाने शोधली, जो स्वतःच्या दंत फाइल्स पाहण्यासाठी पोर्टल वापरत होता.

रिपोर्टनुसार, या बगमुळे लॉग-इन केलेल्या एका रुग्णाला इतर रुग्णांच्या दस्तऐवजांपर्यंत पोहोचता येत होती. उघड झालेल्या फाइल्समध्ये वैयक्तिक माहिती, वैद्यकीय इतिहास, फोटो ओळखपत्रे आणि इतर दस्तऐवज होते, असे सांगितले गेले. कारण ही त्रुटी दस्तऐवज कसे मिळवले जात होते यावर परिणाम करत होती, त्यामुळे ती शोधणाऱ्या रुग्णाने सांगितले की त्याच्या स्वतःच्या फाइल्सही इतरांना दिसल्या असण्याची शक्यता आहे.

संवेदनशील परिणाम असलेली, सहज वापरता येणारी समस्या

रिपोर्ट झालेली कमकुवत बाजू केवळ आरोग्यविषयक माहितीशी संबंधित होती म्हणूनच नाही, तर ती वापरण्यास खूप सोपी होती म्हणूनही महत्त्वाची ठरली. TechCrunch ने सांगितले की रुग्णाला आढळले, वेब पत्त्यातील दस्तऐवज क्रमांक बदलल्यास इतर फाइल्स दिसू शकत होत्या. हे दस्तऐवज क्रमांक सलग असल्याचेही दिसत होते, ज्यामुळे फारसा त्रास न होता इतर नोंदींचा अंदाज लावता येईल अशी शक्यता निर्माण झाली.

ही जोड महत्त्वाची आहे. खोल तांत्रिक कौशल्य लागणारी त्रुटी धोकादायक असते, पण सामान्य पोर्टल वापरकर्ता देखील पुनरुत्पादित करू शकतो अशी त्रुटी खूप मोठे उघडेपण निर्माण करते. या प्रकरणात, वैध रुग्ण लॉगिनशिवाय खास साधने किंवा आतल्या दर्जाच्या परवानग्यांची गरज असल्याचे दिसत नव्हते.

NASA
More in News

NASA च्या X-59 ने शांत सुपरसोनिक उड्डाणांसाठी महत्त्वाचे चाचणी टप्पे गाठले

NASA चा प्रायोगिक X-59 Mach 1.4 आणि 55,000 फूटांवर पोहोचला आहे, तर संस्था ध्वनिक पडताळणी आणि नंतरच्या समुदाय-उड्डाणांची तयारी करत आहे.

Read article

रुग्णाने तक्रार करताना अडचण येऊनही सुधारणा उशिरा आली नाही

रुग्णाने सांगितले की त्याने आधी ईमेलने आणि नंतर LinkedIn द्वारे थेट कंपनीला कळवण्याचा प्रयत्न केला, परंतु TechCrunch शी संपर्क होईपर्यंत त्याला कोणताही प्रतिसाद मिळाला नाही. आउटलेटने नोंदवले की कंपनीचा प्रकाशित ईमेल पत्ता संदेश undeliverable म्हणून परत पाठवत होता, त्यामुळे जबाबदार प्रकटीकरणासाठी कोणताही स्पष्ट मार्ग उरला नव्हता.

हा तपशील बगइतकाच महत्त्वाचा आहे. ग्राहक आणि व्यवसाय सॉफ्टवेअरमध्ये वारंवार दिसणारी ही एक समस्या दर्शवते: कंपन्या नियमितपणे वापरकर्त्यांना संवेदनशील डेटा त्यांच्या विश्वासावर सोपवायला सांगतात, पण अनेकांकडे सुरक्षा समस्या कळवण्यासाठी अजूनही दृश्य आणि कार्यरत असा मार्ग नाही. त्रुटी शोधणाऱ्या व्यक्तीला योग्य टीमपर्यंत पोहोचण्याचा मार्ग न मिळाल्यास, उघडपणाचा कालावधी अपेक्षेपेक्षा जास्त राहतो.

ग्राहकांना सापडणाऱ्या त्रुटींचा व्यापक नमुना

TechCrunch ने ही घटना व्यापक प्रवृत्तीचा भाग म्हणून मांडली, ज्यात व्यावसायिक संशोधकांऐवजी सामान्य वापरकर्तेच दैनंदिन उत्पादनांमधील गंभीर सुरक्षा समस्या शोधत आहेत. अहवालात अशाच इतर कंपन्यांशी संबंधित प्रकरणांचा उल्लेख केला गेला, जिथे वापरकर्ते किंवा संशोधकांना लक्ष वेधून घेण्यासाठी संघर्ष करावा लागला, आणि नंतर माध्यमांच्या संपर्कामुळे कारवाई झाली.

हा नमुना सूचित करतो की सुरक्षा परिसंस्था बदलत आहे. किरकोळ ऑर्डरपासून आरोग्य प्रशासनापर्यंत सॉफ्टवेअर आता नियमित सेवांमध्ये गुंफले गेले आहे, आणि त्या प्रणालींशी संपर्कात असलेले लोक बहुतेक वेळा काहीतरी बिघडले आहे हे सर्वप्रथम ओळखतात. नियंत्रित किंवा अत्यंत वैयक्तिक डेटा हाताळणाऱ्या संस्थांना आता अशा वापरकर्त्यांचे बोलणे ऐकण्यासाठी कार्यात्मक शिस्त आवश्यक आहे.

Cropped image of Stained glass window showing Eilmer, installed in Malmesbury Abbey in 1920
More in News

धूमकेतूचे रहस्य मध्ययुगीन भिक्षू ईल्मरची कालरेषा पुन्हा लिहू शकते

एक नवा ऐतिहासिक युक्तिवाद सांगतो की माल्म्सबरीच्या ईल्मरने 989 मधील हॅलीच्या धूमकेतूऐवजी 1018 मधील धूमकेतू पाहिला असावा, ज्यामुळे त्याचे वय आणि प्रसिद्ध उड्डाण यांचे अंदाज बदलतात.

Read article

आरोग्य सॉफ्टवेअरमध्ये हे का महत्त्वाचे आहे

दंत सॉफ्टवेअरला रुग्णालय प्रणाली किंवा राष्ट्रीय विमा कंपन्यांइतके लक्ष मिळत नसले तरी, प्रॅक्टिस पोर्टलमध्ये साठवलेली माहिती अतिशय संवेदनशील असू शकते. वैद्यकीय इतिहास, ओळखपत्रे आणि उपचार नोंदी या सर्व गोष्टी रुग्ण खात्यात दिसू शकतात. त्यामुळे खातेसीमा ओलांडणारी त्रुटी एकाच वेळी गोपनीयता, विश्वास आणि संभाव्य अनुपालन धोके निर्माण करते.

मूळ अहवालात किती रुग्ण प्रभावित झाले याचा तपशील नाही, आणि Practice by Numbers च्या दुरुस्तीने त्या विशिष्ट बगला बंद केल्याचे दिसते. तरीही, हे प्रकरण दाखवते की वेब पोर्टलमधील एकाच परवानगीच्या चुकीमुळे साधा दस्तऐवज दर्शक अनेक वापरकर्त्यांना एकाचवेळी प्रभावित करणाऱ्या गोपनीयता-उघडकीच्या परिस्थितीत कसा बदलू शकतो.

या घटनेतून काय सूचित होते

तात्काळ कथा सरळ आहे: एका रुग्णाने एक त्रुटी शोधली, त्या त्रुटीमुळे इतर रुग्णांच्या नोंदी उघड झाल्या, आणि सार्वजनिक लक्षात आल्यानंतर कंपनीने ती समस्या दुरुस्त केली. मोठा धडा असा की सुरक्षा म्हणजे केवळ कोड पॅच करणे नाही. स्पष्ट इनटेक मार्ग, कार्यरत संपर्क चॅनेल, आणि अनपेक्षित बग रिपोर्ट्सना आवाज न मानता कार्यात्मक प्राधान्य मानणाऱ्या प्रक्रिया यांचाही त्यात समावेश होतो.

जसे-जसे अधिक आरोग्य-संबंधित सेवा रुग्णांसमोरच्या वेब अॅप्समधून जातील, तसा हा फरक अधिक महत्त्वाचा होईल. कंपन्या शोधल्यानंतर बग बंद करू शकतात, पण वापरकर्त्यांना जेव्हा कळते की त्रुटी आणि रिपोर्टिंग सिस्टम दोन्ही एकाच वेळी अपयशी ठरले, तेव्हा विश्वास पुन्हा निर्माण करणे अधिक कठीण होते.

हा लेख TechCrunch च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.

Anthropic logo on an orange and grey background.
More in News

Anthropic बंदी अहवालामुळे AI सुरक्षा, निर्यात आणि राजकारण एकाच संघर्षात आले

अॅमेझॉनचे संशोधन आणि CEO Andy Jassy यांची व्हाईट हाऊसशी झालेली चर्चा यामुळे परदेशी नागरिकांसाठी Anthropic च्या Fable 5 आणि Mythos 5 मॉडेल्सचा प्रवेश बंद करणारी निर्यात-नियंत्रण कारवाई झाली, असा अहवाल सांगतो.

Read article

Originally published on techcrunch.com