نمبرز پاران مشق، هزارين ڏندن جي آفيسن ۾ استعمال ٿيندڙ مريض مئنيجمينٽ سافٽ ويئر جي ڊولپر، هڪ سيڪيورٽي خامي کي درست ڪيو آهي جيڪو هڪ پورٽل تي مريضن جي نجي صحت جي رڪارڊ کي ظاهر ڪري ٿو جيڪو سافٽ ويئر سان گڏ اچي ٿو، TechCrunch سکيو آهي. هڪ مريض، جوزف آر ڪاڪس، ٽيڪ ڪرنچ کي بگ جي رپورٽ ڪئي جڏهن هن مسئلي کي منهن ڏيڻ بعد پورٽل تي پنهنجي ڏندن جي رڪارڊ کي ڏسندي، جيڪو هن جي ڏندن جي آفيس طرفان پيش ڪيو ويو هو.

هڪ مريض، جوزف آر ڪاڪس، ٽيڪ ڪرنچ کي بگ جي رپورٽ ڪئي جڏهن هن مسئلي کي منهن ڏيڻ بعد پورٽل تي پنهنجي ڏندن جي رڪارڊ کي ڏسندي، جيڪو هن جي ڏندن جي آفيس طرفان پيش ڪيو ويو هو.

هي مريض پورٽل ڊينٽل آفيس مئنيجمينٽ سافٽ ويئر جو حصو آهي پريڪٽس پاران نمبرز طرفان ٺاهيو ويو آهي، جنهن جي دعويٰ آهي ته هن جون پروڊڪٽس سڄي آمريڪا ۾ 5000 کان وڌيڪ ڏندن جي مشقن ۾ استعمال ٿينديون آهن.

ڪوڪس چيو ته بگ پورٽل جي ڪنهن به صارف کي اجازت ڏني، جنهن ۾ مريضن جا طبي دستاويز ۽ صحت جا رڪارڊ موجود آهن، ٻين مريضن سان لاڳاپيل دستاويزن تائين رسائي حاصل ڪرڻ جي اجازت ڏني وئي. هن چيو ته هو پنهنجي اڪائونٽ مان ٻين مريضن جي دستاويزن تائين رسائي حاصل ڪرڻ جي قابل هو، جن ۾ انهن جي ذاتي معلومات، طبي تاريخون، تصوير جي سڃاڻپ، ۽ ٻيون فائلون شامل آهن. بگ جو مطلب اهو پڻ هو ته ڪوڪس جا رڪارڊ ٻين مريضن جيان بي نقاب هئا.

Cox چيو ته هن ڪمپني کي اي ميل ذريعي مسئلي بابت خبردار ڪرڻ جي ڪوشش ڪئي، پر واپس نه ٻڌو. هن پوءِ ٽيڪ ڪرنچ کي اطلاع ڏنو ته آخري طريقي سان ڪمپني کي بگ کي پيچ ڪرڻ لاءِ چيو.

بگ غير معمولي طور تي استعمال ڪرڻ آسان هو هر ڪنهن لاءِ لاگ ان سان گڏ مشق طرفان نمبرز جي مريض پورٽل. Cox چيو ويب ايڊريس ۾ دستاويز نمبر تبديل ڪندي جڏهن پورٽل ۾ سندس هڪ دستاويز لوڊ ڪندي صارفين کي ٻين مريضن جي فائلن تائين رسائي جي اجازت ڏني.

بدتر، Cox چيو ته ويب ايڊريس ۾ دستاويزن نمبرن کي ترتيب سان وڌندي نظر اچن ٿا، تنهنڪري اهو آساني سان اندازو لڳائڻ ممڪن آهي ٻين ماڻهن جي طبي فائلن جي دستاويزن نمبرن جو.

Cox TechCrunch کي ٻڌايو ته هن مسئلي کي نمبرن طرفان مشق کي خبردار ڪرڻ ۾ مشڪلاتن کي منهن ڏنو، جيئن ڪمپني سيڪيورٽي مسئلن جي رپورٽ ڪرڻ لاء ڪو به قابل ذڪر رستو پيش نه ڪيو. ڪمپني جو اي ميل پتو ان جي ويب سائيٽ تي ٽوڙيو ويو، اي ميلون ناقابل واپسي طور تي واپس آيون. ان جي بدران، Cox LinkedIn تي ڪمپني جي باني مان هڪ کي پيغام موڪليو، پر بعد ۾ اي ميل موڪلڻ کان پوء ڪجهه به نه ٻڌو.

مسئلو، هاڻي مقرر ٿيل، هڪ تازي رجحان کي نمايان ڪري ٿو جنهن ۾ باقاعده صارفين ڪمپنين جي شين يا ويب سائيٽن ۾ سيڪيورٽي خاميون ڳولي رهيا آهن، پر ڊولپرز کي مسئلي جي رپورٽ ڪرڻ جو ڪو واضح طريقو ناهي.

ان کان اڳ اپريل ۾، فيشن پرچون ڪندڙ ايڪسپريس هڪ ويب سائيٽ بگ کي درست ڪيو جنهن کي ڪنهن کي اجازت ڏني وئي آرڊر جي تفصيل ۽ ٻين گراهڪن جي ذاتي معلومات تائين رسائي، هڪ صارف کان پوء بگ جي نشاندهي ڪئي، پر ڪمپني کي خبردار ڪرڻ جو ڪو طريقو نه مليو. هڪ اهڙو ئي واقعو ڊسمبر ۾ هوم ڊپو ۾ شامل آهي: هڪ سيڪيورٽي محقق خانگي طور تي ڪمپني کي سيڪيورٽي ليپ بابت خبردار ڪرڻ جي ڪوشش ڪئي جيڪا تقريبن هڪ سال تائين ان جي اندروني سسٽم تائين رسائي کي ظاهر ڪري رهي هئي، پر انهن جي رپورٽن کي نظرانداز ڪيو ويو جيستائين TechCrunch ڪمپني سان رابطو نه ڪيو.

حفاظتي خامي جي ڪري فعال طور تي مريضن جي ڊيٽا کي خطري ۾ وجهي رهيو هو، TechCrunch 13 اپريل تي انگن اکرن ذريعي مشق کي خبردار ڪيو. ڪمپني بگ کي درست ڪرڻ لاءِ پنهنجو مريض پورٽل ڪڍيو، ۽ ان کي 17 اپريل تي آن لائن واپس آندو.

نمبرز جي گڏيل باني ۽ چيف ٽيڪنالاجي آفيسر، ڪرس لو پاران مشق، TechCrunch کي ٻڌايو ته ڪمپني نقصان کي درست ڪري ڇڏيو هو، ۽ اهو 10 کان گهٽ مريضن کي اطلاع ڏئي رهيو هو ته انهن جي معلومات بگ جي سبب ظاهر ڪئي وئي هئي، ان جي سرور لاگز جو حوالو ڏنو ويو.

ڪمپني چيو ته اها متاثر ٿيل ڏندن جي مشق سان ڪم ڪري رهي آهي متاثر مريضن کي مطلع ڪرڻ لاء. لاو چيو ته ڪمپني بگ سان لاڳاپيل اڳئين سرگرمي جي ثبوت جي نشاندهي نه ڪئي هئي، تجويز ڪيو ته Cox ان کي ڳولڻ لاء پهريون ڀيرو هو.

Cox تصديق ڪئي ته بگ لڳي ٿو طئي ڪيو ويو آهي.

جڏهن TechCrunch پاران پڇيو ويو، نه لاو ۽ نه ئي نمبر جي گڏيل باني ۽ صدر، روهت گرگ پاران مشق، چوندو ته ڪمپني جي مريض پورٽل کي شروع ٿيڻ کان پهريان سيڪيورٽي آڊٽ ڪيو ويو هو. ڪمپنيون عام طور تي سيڪيورٽي آڊٽ مان گذرنديون آهن انهي کي يقيني بڻائڻ لاءِ ته انهن جون پروڊڪٽس سائبر سيڪيورٽي معيارن سان ملن ٿيون، ۽ گراهڪ انهن کي استعمال ڪرڻ شروع ڪرڻ کان اڳ عام سيڪيورٽي خامين کان آزاد آهن.

جڏهن ته ڪو به سافٽ ويئر مڪمل طور تي بگ کان خالي نه هوندو آهي، ڪمپنيون جيڪي حساس معلومات کي هٿي وٺنديون آهن، جهڙوڪ صحت جي سار سنڀار جي ڊيٽا، عام طور تي ڪنهن به وڏي حفاظتي خامي کي ختم ڪرڻ لاءِ انهن جي ڪوڊ جا ٽئين پارٽي جا جائزو وٺندا آهن.

جڏهن پڇيو ويو ته ڇا نمبرز پاران مشق پنهنجي ويب سائيٽ کي اپڊيٽ ڪرڻ جو ارادو رکي ٿو سيڪيورٽي محققن کي اجازت ڏيڻ جي ڪمپني کي مطلع ڪرڻ لاءِ سيڪيورٽي خاميون ، جيئن ته هڪ ڪمزوري ظاهر ڪرڻ واري پروگرام ذريعي ، گرگ چيو ته ڪمپني پنهنجي ويب سائيٽ کي اپڊيٽ ڪرڻ جو ارادو رکي ٿي ماڻهن کي سيڪيورٽي مسئلن جي رپورٽ ڪرڻ لاءِ. ڪمپني هڪ ٽائم لائن پيش نه ڪيو.