تأمين تفاصيل المريض والسجلات الطبية: CloudSek يحمي منظمة الرعاية الصحية

تحدي

اكتشفت CloudSek BeVigil واجهة برمجة تطبيقات تم تكوينها بشكل خاطئ في ملف JavaScript مرتبط بأصول شركة رعاية صحية هندية كبرى. وفرت مفاتيح API المكشوفة ورموز المصادقة وصولاً غير مصدق إلى نقاط النهاية الحساسة، مما يسمح للمستخدمين غير المصرح لهم بالوصول إلى المعلومات الشخصية والطبية. وشمل ذلك القدرة على تنزيل التقارير الطبية وربما الاستيلاء على حسابات Ayushman Bharat باستخدام الرموز المسربة.

التأثير

يمكن أن يؤدي الوصول غير المصرح به إلى البيانات الطبية الشخصية إلى انتهاكات كبيرة للخصوصية وسرقة الهوية والاحتيال. قد يواجه مقدمو الرعاية الصحية مسؤوليات قانونية وأضرارًا بالسمعة بسبب الكشف عن معلومات المريض. بالإضافة إلى ذلك، يمكن أن تتعرض سلامة المرضى للخطر إذا تم الوصول إلى البيانات الطبية الحساسة أو العبث بها، مما يؤدي إلى علاجات طبية غير صحيحة

الحل

قامت CloudSek BeVigil على الفور بتحديد وتأمين واجهة برمجة التطبيقات التي تم تكوينها بشكل خاطئ، مما يضمن حماية البيانات المكشوفة وتقييد الوصول.

‍

التنفيذ:

الكشف:

اكتشفت CloudSek BeVigil واجهة برمجة التطبيقات التي تم تكوينها بشكل خاطئ في ملف JavaScript مرتبط بأصول شركة الرعاية الصحية.

‍

تحليل التهديدات:

• مفاتيح API المكشوفة ورموز المصادقة المقدمة وصول غير مصدق إلى نقاط النهاية الحساسة، مما يسمح للمستخدمين غير المصرح لهم بالوصول إلى المعلومات الشخصية والطبية.

• كشف التحليل عن إمكانية الوصول غير المصرح به إلى حسابات ABHA والقدرة على تنزيل التقارير الطبية.

‍

إجراءات فورية:

• فريق Infosec التابع لشركة الرعاية الصحية قام بتأمين واجهة برمجة التطبيقات التي تم تكوينها بشكل خاطئ استنادًا إلى نصيحة CloudSek لمنع المزيد من الوصول غير المصرح به.

• تم تنفيذ ضوابط الوصول لفرض مبدأ الامتياز الأقل، باستخدام مفاتيح OAuth 2.0 أو API للمصادقة.

• تدوير مفتاح API وعناصر التحكم في تحديد المعدل تم وضعها لمنع سوء المعاملة.

‍

تدابير وقائية:

• مبادئ التحكم في الوصول القائم على الأدوار (RBAC) تم تطبيقها لإدارة الوصول استنادًا إلى أدوار المستخدم

• تم تثقيف الموظفين حول أهمية تأمين المعلومات الحساسة واتباع أفضل الممارسات لأمان API