věda

Kritická zranitelnost odhalila citlivá data dobrovolných dárců orgánů

Reprezentativní obrázek. | Foto kredit: Getty Images/IStockphoto

Kritická zranitelnost v webových stránkách Organizace pro vyhledávání orgánů (ORBO) z All India Institute of Medical Sciences (AIIMS), Nového Dillí, které odhalily citlivé údaje o dárcích orgánů v celé Indii spolu s jejich identitou, profilem zdravotního profilu a kontaktních údajů, byly detekovány a vyřešeny díky nezávislému vědci v oblasti bezpečnosti, který byl detekován FLAW.

Orbo je uzlové zařízení pro aktivity AIIMS související s darováním orgánů a tkání. Udržuje registr dárce smrti mozku, koordinuje proces darování orgánů a tkání a transplantace a šíří informace nemocnicím.

V polovině května 2025 se výzkumný pracovník Aniket Tomar narazil na zranitelnost a upozornil tým pro reakci na mimořádné situace (CERT).

Porušení soukromí dat

V e -mailu informujícím o kritické expozici údajů uvedl, že zranitelnost zveřejnila osobně identifikovatelné a lékařské informace o dárcích orgánů a tkání bez jakéhokoli mechanismu autentizace pro přístup k jeho přístupu, což představuje vážnou hrozbu pro ochranu údajů, dodržování předpisů a národní bezpečnosti zdravotní infrastruktury.

Únik dat poskytl neomezený přístup k úplnému seznamu dárců orgánů a tkání registrovaných u AIIMS. Informace zahrnovaly celé jméno, rezidenční adresu, datum narození, krevní skupina, mobilní číslo a nouzové kontaktní údaje o dárci, které dávají stovky jednotlivců na významná rizika krádeže identity, phishingové útoky a využívání sociálního inženýrství.

„Takové porušení údajů z renomované lékařské instituce nejen podkopává důvěru veřejné důvěry v systémy digitálního zdravotnictví, ale také porušuje zásady ochrany údajů podle zákona o ochraně digitálních osobních údajů (DPDP), 2023. Závažnost je zesílena skutečností, že porušení ovlivňuje citlivé demografické demografické vztahy – při jeho upozornění na jeho upozornění na jeho upozornění na jeho upozornění na jeho upozornění na certifikaci.

Pole osobně identifikovatelných informací (PII) by měla být dezinfikována nebo redigována v jakýchkoli veřejně přístupných zprávách, uvedl a vyzval k důkladnému auditu podobných webových aplikací napříč jinými vládními zdravotními portály, aby se zabránilo systémové expozici. AIIMS by měl oznámit postižené osoby v souladu s etickými standardy.

„Více než technický propad“

„Dokázal jsem si prohlédnout několik položek dárců lakhů … údaje nebyly omezeny na Dillí, zdálo se, že záznamy zahrnují dárce z různých regionů po celé Indii, což naznačuje celonárodní rozsah. Vystavení těchto údajů je vážným porušením soukromí, což podkopává důvěru jednotlivců, kteří dobrovolně sdílejí své nejcitlivější osobní údaje s národním zdravotnickým platformou,“ řekl pan Tomar, „řekl Pan Tomar Hindu.

Více než jen technický propad, incident vyvolává hluboké etické obavy a hrozí, že narušuje důvěru veřejnosti v systémy dárcovství orgánů a širší infrastrukturu zdravotní péče, řekl.

18. června 2025, certifikát napsal panu Tomarovi, který ho ocenil za detekci kritické zranitelnosti. Zranitelnost byla úspěšně zmírněna a exponovaná data již nebyla veřejně přístupná, uvedl výzkumný pracovník.

Zdrojový odkaz

Related Articles

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Check Also
Close
Back to top button