برنامه پرکابرد مراقبت از بیماران، دارای دسترسی در ِ پشتی مخفی است!

هر کسی با داشتن نام کاربری و رمز ذخیره شده (هارد-کد) می‌تواند به اطلاعات حیاتی بیمارانی که بیشتر آن‎ها در صف عمل جراحی بوده و یا جدیداً جراحی شده‌اند، دسترسی داشته و آن‎ها را تغییر دهد.
به منظور کمک به گروه‎های پزشکی در مدیریت بیماران قبل از عمل‎های پزشکی، یک مجموعه برنامه طراحی شده است که شامل یک نام کاربری و رمز مخفی می باشد و می‌توان از این نام کاربری و رمز برای دسترسی و تغییر اطلاعات ثبت شده بیماران استفاده کرد.
نام کاربری و رمز ذخیره شده در سامانه مدیریت اطلاعات پیش از عمل افشاء عمومی نشده‎اند، اما اگر این اتفاق می‎افتاد ممکن بود یک فرد سوءاستفاده ‌کننده به درب پشتی برنامه دسترسی پیدا کرده و اطلاعات مهم بیمارانی که یا در صف عمل هستند و یا به تازگی عمل جراحی روی آن‎ها انجام شده است را خوانده و یا تغییر دهد.

بروز این اشکال، گروه مشاوره امنیتی CERT دانشگاه کارنگی ملون که به دنبال مسائل امنیتی و اشکالات نرم‌افزاری است را بر آن داشت تا به مدیران در خصوص به‎روزرسانی نسخه جدید این نرم‌افزار که نام‌ کاربری و رمز را حذف می‌کند، هشدار دهند.
کاربران این برنامه که معمولاً کارمندان و پزشکان کلینیک هستند، می‎توانند از این طریق اطلاعات زیادی در مورد بیماران داشته باشند. این شرکت در وب‌گاهش اعلام کرده است که این برنامه چگونه به متخصصان هوشبری این امکان را می‌دهد تا به اطلاعات ضروری بیماران در مواقع ضروری دسترسی داشته باشند و همچنین از خوبی وضعیت و شرایط بیمار آگاه شوند. این برنامه همچنین قادر است اطلاعات جزئی در مورد پیشینه پزشکی و سلامتی بیمار و درمان فیزیولوژی را ارائه نماید و همیشه در دسترس کارمندان است.

گروه مشاوره همچنین اذعان کرد که فرد سوءاستفاده کننده باید بتواند به‌طور مستقیم با کارگزار ارتباط برقرار کند. درعین‌حال، طبق دستورالعمل‏‎های موجود در مورد خود این سامانه مدیریت اطلاعات پیش از عمل، این سامانه را می‌توان از راه دور مدیریت کرد.
طبق اطلاعات موجود در وب‌گاه مدهاست، این برنامه با استفاده از سامانه پشتیبانی تصمیم، دسترسی به‌موقع به اطلاعات بیمار و سامانه‌های پزشکی را فراهم می‌آورد که این اطلاعات شامل مشاوره‌های اولیه، اطلاعات هوشبری و پرستاری است.
هنوز مشخص نیست که چه تعداد نصب از این برنامه انجام شده است و یا چه تعداد کاربر و بیمار در حال استفاده از آن هستند. شرکت ادعا کرده است که این برنامه را برای حدود هزار نفر از افراد مرتبط با سلامت فراهم کرده است.
تلاش‌ها برای کسب اطلاعات بیشتر از یکی از سخنگویان مدهاست در ساعات پایانی روز پنج‌شنبه طی یک تماس تلفنی بی‌نتیجه بود. همچنین تلاش‌ها برای تماس و کسب اطلاعات بیشتر از دنیل دانستدر که اشکال رخ داده در برنامه را پیدا کرده و اعلام کرد، نیز هنوز نتیجه‌ای در برنداشته است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap