Nhà phát triển phần mềm nha khoa vá lỗi bảo mật làm lộ hồ sơ y tế của bệnh nhân

Practice by Numbers, nhà phát triển phần mềm quản lý bệnh nhân được sử dụng tại hàng nghìn phòng khám nha khoa, đã vá một lỗ hổng bảo mật nghiêm trọng. Lỗi này khiến hồ sơ y tế riêng tư của bệnh nhân bị lộ trên cổng thông tin đi kèm với phần mềm, theo thông tin từ TechCrunch.

Vấn đề được phát hiện bởi một bệnh nhân tên Joseph R. Cox khi ông đang truy cập hồ sơ nha khoa của mình trên cổng thông tin mà phòng khám nha khoa của ông cung cấp. Cổng thông tin này là một phần của phần mềm quản lý phòng khám do Practice by Numbers phát triển, công ty này tuyên bố sản phẩm của họ đang được sử dụng tại hơn 5.000 phòng khám nha khoa trên khắp nước Mỹ.

Lỗi bảo mật dễ khai thác

Cox cho biết lỗi này cho phép bất kỳ người dùng nào của cổng thông tin – nơi lưu trữ tài liệu y tế và hồ sơ sức khỏe của bệnh nhân – đều có thể truy cập vào tài liệu thuộc về các bệnh nhân khác. Ông xác nhận rằng mình có thể xem được thông tin cá nhân, tiền sử bệnh lý, giấy tờ tùy thân và các tệp tin khác của người khác từ chính tài khoản của mình. Điều này cũng đồng nghĩa với việc hồ sơ của Cox cũng bị lộ cho những bệnh nhân khác.

Lỗi bảo mật này đáng lo ngại vì mức độ khai thác của nó cực kỳ đơn giản đối với bất kỳ ai có tài khoản đăng nhập vào cổng thông tin của Practice by Numbers. Cox cho biết chỉ cần thay đổi số thứ tự tài liệu trong địa chỉ web (URL) khi đang tải một tài liệu là người dùng có thể xem được tệp tin của bệnh nhân khác.

Đáng báo động hơn, các số tài liệu trong địa chỉ web dường như được đánh số tuần tự. Điều này có nghĩa kẻ xấu có thể dễ dàng đoán được số thứ tự của các tài liệu y tế thuộc về người khác để truy cập trái phép.

Khó khăn trong việc báo cáo sự cố

Cox cho biết ông đã cố gắng cảnh báo công ty về vấn đề này qua email nhưng không nhận được bất kỳ phản hồi nào. Sau đó, ông đã phải liên hệ với TechCrunch như một giải pháp cuối cùng để yêu cầu công ty khắc phục lỗi.

Theo chia sẻ của Cox, Practice by Numbers không cung cấp kênh rõ ràng nào để báo cáo các vấn đề bảo mật. Địa chỉ email được liệt kê trên website của công ty bị lỗi, khiến các email gửi đi bị trả về. Thay vào đó, Cox đã gửi tin nhắn cho một trong những người sáng lập của công ty trên LinkedIn, nhưng sau khi gửi email theo dõi, ông vẫn không nhận được hồi âm.

Vấn đề này làm nổi bật một xu hướng gần đây, trong đó người tiêu dùng thông thường phát hiện ra các lỗ hổng bảo mật trong sản phẩm hoặc website của các công ty nhưng không có cách nào rõ ràng để báo cáo cho nhà phát triển.

Vào đầu tháng 4, nhà bán lẻ thời trang Express cũng đã phải sửa lỗi website cho phép bất kỳ ai truy cập chi tiết đơn hàng và thông tin cá nhân của khách hàng khác sau khi một người dùng phát hiện ra lỗi nhưng không tìm thấy cách để cảnh báo công ty. Một sự việc tương tự cũng xảy ra với Home Depot vào tháng 12 năm ngoái.

Khắc phục và hậu quả

Do lỗ hổng bảo mật đang đe dọa trực tiếp đến dữ liệu của bệnh nhân, TechCrunch đã cảnh báo Practice by Numbers về vấn đề này vào ngày 13/4. Công ty đã đóng cổng thông tin bệnh nhân để sửa lỗi và đưa nó hoạt động trở lại vào ngày 17/4.

Chris Lau, đồng sáng lập và giám đốc công nghệ (CTO) của Practice by Numbers, cho biết công ty đã vá lỗ hổng này và đang thông báo cho ít hơn 10 bệnh nhân rằng thông tin của họ đã bị lộ do lỗi này, dựa trên nhật ký máy chủ của công ty.

Công ty cho biết họ đang làm việc với phòng khám nha khoa bị ảnh hưởng để thông báo cho các bệnh nhân liên quan. Lau khẳng định công ty chưa tìm thấy bằng chứng về hoạt động trước đó liên quan đến lỗi này, gợi ý rằng Cox có thể là người đầu tiên phát hiện ra vấn đề. Cox cũng đã xác nhận rằng lỗi dường như đã được khắc phục hoàn toàn.

Khi được hỏi, cả Lau và Rohit Garg (đồng sáng lập và chủ tịch của Practice by Numbers) đều từ chối cho biết liệu cổng thông tin bệnh nhân của công ty đã được kiểm toán bảo mật trước khi ra mắt hay không. Các công ty thường thực hiện các cuộc kiểm toán bảo mật để đảm bảo sản phẩm đáp ứng các tiêu chuẩn an ninh mạng và không có các lỗ hổng bảo mật phổ biến trước khi khách hàng bắt đầu sử dụng.

Mặc dù không có phần mềm nào hoàn hảo tuyệt đối, nhưng các công ty xử lý thông tin nhạy cảm như dữ liệu y tế thường tìm kiếm các bên thứ ba để xem xét mã nguồn nhằm loại bỏ các lỗi bảo mật lớn.

Khi được hỏi liệu Practice by Numbers có kế hoạch cập nhật website để cho phép các nhà nghiên cứu bảo mật thông báo các lỗ hổng, ví dụ như thông qua chương trình tiết lộ lỗ hổng (vulnerability disclosure program) hay không, Garg cho biết công ty có kế hoạch cập nhật website để cho phép mọi người báo cáo các vấn đề bảo mật. Tuy nhiên, công ty chưa đưa ra mốc thời gian cụ thể cho việc này.