د نمبرونو لخوا تمرین ، د ناروغانو مدیریت سافټویر رامینځته کونکی چې د غاښونو په زرګونو دفترونو کې کارول کیږي ، یوه امنیتي نیمګړتیا یې حل کړې چې په پورټل کې د ناروغانو شخصي روغتیا ریکارډونه افشا کوي چې د سافټویر سره بنډل راځي ، ټیک کرنچ زده کړل. یو ناروغ ، جوزف آر کاکس ، وروسته له هغه چې په پورټل کې د خپل غاښونو ریکارډونو لیدو پرمهال له مسلې سره مخ شو ، ټیک کرنچ ته د بګ راپور ورکړ ، کوم چې د هغه د غاښونو ډاکټر دفتر لخوا وړاندیز شوی و.

یو ناروغ ، جوزف آر کاکس ، وروسته له هغه چې په پورټل کې د خپل غاښونو ریکارډونو لیدو پرمهال له مسلې سره مخ شو ، ټیک کرنچ ته د بګ راپور ورکړ ، کوم چې د هغه د غاښونو ډاکټر دفتر لخوا وړاندیز شوی و.

دا د ناروغ پورټل د غاښونو د دفتر مدیریت سافټویر برخه ده چې د شمیرو لخوا د تمرین لخوا رامینځته شوی ، کوم چې ادعا کوي د دې محصولات په متحده ایالاتو کې د 5000 څخه ډیر د غاښونو تمرینونو کې کارول کیږي.

کاکس وویل چې بګ د پورټل هر کارونکي ته اجازه ورکړه چې د ناروغانو طبي اسناد او روغتیا ریکارډونه ولري، د نورو ناروغانو اسنادو ته لاسرسی ومومي. هغه وویل چې هغه کولی شي د خپل حساب څخه د نورو ناروغانو اسنادو ته لاسرسی ومومي ، پشمول د دوی شخصي معلومات ، طبي تاریخونه ، عکس پیژندنه او نور فایلونه. د بګ معنی دا هم وه چې د کاکس ریکارډونه د نورو ناروغانو په څیر څرګند شوي.

کاکس وویل چې هغه هڅه وکړه چې شرکت ته د بریښنالیک له لارې د مسلې په اړه خبر ورکړي ، مګر بیرته یې غوږ ونه ګراوه. هغه بیا ټیک کرنچ ته د وروستي حل په توګه خبر ورکړ ترڅو له شرکت څخه وغواړي چې بګ پیچ کړي.

بګ د پام وړ اسانه و چې د هر چا لخوا استخراج کول د شمیرو ناروغانو پورټل لخوا تمرین ته د ننوتلو سره. کاکس وویل چې په ویب پته کې د سند شمیره بدلول پداسې حال کې چې په پورټل کې د هغه یو سند پورته کول کاروونکو ته اجازه ورکوي چې د نورو ناروغانو فایلونو ته لاسرسی ومومي.

بدتر، کاکس وویل چې په ویب پته کې د اسنادو شمیرې په ترتیب سره زیاتیدونکي ښکاري، نو دا ممکنه وي چې د نورو خلکو طبي فایلونو اسنادو شمیرې په اسانۍ سره اټکل شي.

کاکس ټیک کرنچ ته وویل چې هغه مسلې ته د شمیرو لخوا د تمرین خبرداری ورکولو کې له ستونزو سره مخ دی ، ځکه چې شرکت د امنیتي ستونزو راپور ورکولو لپاره هیڅ د پام وړ لاره نه ده وړاندې کړې. په ویب پاڼه کې د شرکت بریښنالیک پته مات شوی، بریښنالیکونه د نه منلو وړ بیرته راستانه شوي. پرځای یې، کاکس په LinkedIn کې د شرکت بنسټ ایښودونکو ته یو پیغام واستاوه، مګر د راتلونکی بریښنالیک لیږلو وروسته یې هیڅ شی نه اوریدلی.

دا مسله، اوس ثابته شوې، یو وروستي رجحان په ګوته کوي چې په کې منظم مصرف کونکي د شرکتونو په محصولاتو یا ویب پاڼو کې امنیتي نیمګړتیاوې لټوي، مګر پراختیا کونکو ته د مسلې راپور ورکولو لپاره کومه روښانه لاره نلري.

د اپریل په پیل کې، د فیشن پرچون پلورونکي ایکسپریس د ویب پاڼې بګ حل کړ چې هر چا ته اجازه ورکوي چې د امر توضیحاتو او د نورو پیرودونکو شخصي معلوماتو ته لاسرسی ومومي، وروسته له دې چې یو کاروونکي بګ وپیژندل، مګر شرکت ته د خبرتیا لپاره هیڅ لاره ونه موندله. ورته پیښه د ډسمبر په میاشت کې د کور ډیپو کې شامله وه: یو امنیتي څیړونکي هڅه وکړه چې شرکت ته په خصوصي توګه د یوې امنیتي نیمګړتیا په اړه خبر ورکړي چې د نږدې یو کال لپاره یې د دې داخلي سیسټمونو ته لاسرسی څرګند کړی و ، مګر د دوی راپورونه له پامه غورځول شوي تر هغه چې ټیک کرنچ شرکت سره اړیکه ونیسی.

د امنیت نیمګړتیا ته په پام سره چې په فعاله توګه د ناروغانو ډیټا په خطر کې اچوي، TechCrunch د اپریل په 13 نیټه د شمیرو له لارې د مسلې په اړه د تمرین خبرداری ورکړ.

د نمبرونو شریک بنسټ ایښودونکي او د ټیکنالوژۍ رییس کریس لاو لخوا تمرین ، ټیک کرنچ ته وویل چې شرکت زیان منونکي حل کړي ، او دا له 10 څخه لږ ناروغانو ته خبر ورکوي چې د دوی معلومات د بګ له امله افشا شوي ، د سرور لاګونو په حواله.

شرکت وویل چې دا د اغیزمنو غاښونو تمرین سره کار کوي ترڅو اغیزمن شوي ناروغانو ته خبر ورکړي. لاو وویل چې شرکت د بګ پورې اړوند د مخکیني فعالیت شواهد ندي پیژندلي ، وړاندیز کوي چې کوکس احتمال لومړی و چې دا یې وموند.

کاکس تایید کړه چې داسې بریښي چې بګ سم شوی وي.

کله چې د ټیک کرنچ لخوا وپوښتل شول ، نه د نمبر شریک بنسټ ایښودونکي او رییس روهیت ګرګ لخوا لاو او نه تمرین ، به ووایی که د شرکت ناروغ پورټل د پیل کیدو دمخه د امنیت پلټنه کړې وي. شرکتونه معمولا د امنیت پلټنو څخه تیریږي ترڅو ډاډ ترلاسه کړي چې د دوی محصولات د سایبر امنیت معیارونه پوره کوي، او مخکې له دې چې پیرودونکي د دوی کارول پیل کړي د عام امنیتي نیمګړتیاوو څخه پاک وي.

پداسې حال کې چې هیڅ سافټویر هیڅکله په بشپړ ډول له بګ څخه پاک نه وي ، هغه شرکتونه چې حساس معلومات اداره کوي ، لکه د روغتیا پاملرنې ډیټا ، معمولا د دوی د کوډ دریمې ډلې بیاکتنې لټوي ترڅو کومې لویې امنیتي نیمګړتیاوې لرې کړي.

کله چې وپوښتل شول چې ایا د شمیرو لخوا تمرین پلان لري چې خپله ویب پاڼه تازه کړي ترڅو امنیتي څیړونکو ته اجازه ورکړي چې شرکت ته د امنیتي نیمګړتیاو خبر ورکړي ، لکه د زیان مننې افشا کولو برنامې له لارې ، ګرګ وویل چې شرکت پلان لري خپله ویب پا onه تازه کړي ترڅو خلکو ته د امنیت مسلو راپور ورکړي. شرکت د مهال ویش وړاندیز نه دی کړی.