Az bilinen bir yazılım şirketi olan California merkezli Meditab, kendisini hastaneler, doktor ofisleri ve eczaneler için önde gelen elektronik tıbbi kayıt yazılımı üreticilerinden biri olarak tanıtıyor. Şirket, hasta dosyalarını diğer sağlık hizmeti sağlayıcılarıyla ve eczanelerle paylaşmak için hâlâ temel bir yöntem olan elektronik faksları kullanıyor. Ancak açığı keşfeden güvenlik şirketine göre, bu faks sunucusu doğru şekilde korunmuyor.
Bu faks sunucusu, Mart 2018'de yaratılmasından bu yana 3,2 milyondan fazla kaydı olan bir Elasticsearch veritabanını kullanıyordu. Sunucunun şifresi olmadığından gönderilen fakslar, içerikleri dahil olmak üzere gerçek zamanlı olarak okunabiliyordu.
Verilerin kısa bir incelemesine göre fakslar, tıbbi kayıtlar, doktor notları, reçeteler ve kan testi sonuçları gibi hastalık bilgileri de dahil olmak üzere kişisel olarak tanımlanabilir bir dizi kişisel bilgi ve sağlık bilgisi içeriyordu. Fakslar ayrıca isimleri, adresleri, doğum tarihlerini ve bazı durumlarda Sosyal Güvenlik numaralarını, sağlık sigortası bilgilerini ve ödeme verilerini de içeriyordu.
Bahsi geçen belgeler ayrıca çocuklar hakkındaki kişisel bilgileri ve sağlık bilgilerini barındırıyordu. Ayrıca verilerin hiçbiri şifrelenmemişti.
Şirket kurucusu Kalpesh Patel, güvenlik aşamasına gelindiğinde şirketin sorunu ve çözümü belirlemek için konuyu incelediğini belirtti. Yorum yapmaktan kaçınan şirketin genel danışmanı Angel Marrero bir e-posta ile “Potansiyel sızıntıların kapsamına erişmek için kayıtlarımızı hâlâ gözden geçiriyoruz” açıklamasında bulundu.
Açığın bulunduğu sunucuyu başka birinin keşfedip etmediği veya sunucudaki verilerin ne zamandır korumasız olduğu bilinmiyor. Verileri açığa çıkaran veya kanunları ihlal eden şirketler ağır para cezalarına maruz kalabilir.
