ہزاروں دندان سازوں کے دفاتر میں استعمال ہونے والے مریض کے انتظام کے سافٹ ویئر کے ڈویلپر، نمبرز کی مشق نے ایک حفاظتی خامی کو دور کیا ہے جس نے سافٹ ویئر کے ساتھ بنڈل آنے والے پورٹل پر مریضوں کے نجی صحت کے ریکارڈ کو بے نقاب کیا ہے، TechCrunch نے سیکھا ہے۔
ایک مریض، Joseph R. Cox نے پورٹل پر اپنے دانتوں کے ریکارڈز کو دیکھتے ہوئے اس مسئلے کا سامنا کرنے کے بعد TechCrunch کو اس مسئلے کی اطلاع دی، جسے اس کے دانتوں کے ڈاکٹر کے دفتر نے پیش کیا تھا۔
یہ مریض پورٹل ڈینٹل آفس مینجمنٹ سوفٹ ویئر کا حصہ ہے جسے پریکٹس بائی نمبرز نے بنایا ہے، جس کا دعویٰ ہے کہ اس کی مصنوعات پورے امریکہ میں 5000 سے زیادہ دانتوں کے علاج میں استعمال ہوتی ہیں۔
کاکس نے کہا کہ بگ نے پورٹل کے کسی بھی صارف کو اجازت دی ہے، جس میں مریضوں کے طبی دستاویزات اور صحت کے ریکارڈ موجود ہیں، دوسرے مریضوں سے تعلق رکھنے والے دستاویزات تک رسائی حاصل کر سکتے ہیں۔ اس نے کہا کہ وہ اپنے اکاؤنٹ سے دوسرے مریضوں کے دستاویزات تک رسائی حاصل کرنے کے قابل تھا، بشمول ان کی ذاتی معلومات، طبی تاریخ، تصویر کی شناخت، اور دیگر فائلیں۔ اس بگ کا یہ مطلب بھی تھا کہ Cox کے ریکارڈ دوسرے مریضوں کے سامنے بالکل ایسے ہی تھے۔
کاکس نے کہا کہ اس نے کمپنی کو ای میل کے ذریعے اس مسئلے سے آگاہ کرنے کی کوشش کی، لیکن اس نے کوئی جواب نہیں دیا۔ اس کے بعد اس نے ٹیک کرنچ کو ایک آخری حربے کے طور پر مطلع کیا کہ کمپنی سے بگ کو ٹھیک کرنے کو کہے۔
پریکٹس بائے نمبرز کے مریض پورٹل پر لاگ ان ہونے والے کسی بھی شخص کے ذریعے اس مسئلے کا فائدہ اٹھانا بہت آسان تھا۔ کاکس نے کہا کہ ویب ایڈریس میں دستاویز کا نمبر تبدیل کرتے ہوئے پورٹل میں اپنی ایک دستاویز لوڈ کرنے سے صارفین کو دوسرے مریضوں کی فائلوں تک رسائی حاصل ہو گئی۔
اس سے بھی بدتر، Cox نے کہا کہ ویب ایڈریس میں دستاویزی نمبرز ترتیب وار اضافہ ہوتے دکھائی دیتے ہیں، اس لیے دوسرے لوگوں کی طبی فائلوں کے دستاویزی نمبروں کا آسانی سے اندازہ لگانا ممکن ہو سکتا ہے۔
Cox نے TechCrunch کو بتایا کہ انہیں پریکٹس بذریعہ نمبرز کو اس مسئلے سے آگاہ کرنے میں مشکلات کا سامنا کرنا پڑا، کیونکہ کمپنی نے سیکیورٹی کے مسائل کی اطلاع دینے کے لیے کوئی قابل فہم راستہ پیش نہیں کیا۔ اس کی ویب سائٹ پر کمپنی کا ای میل ایڈریس ٹوٹ گیا تھا، ای میلز ناقابل ترسیل کے طور پر واپس آ گئی تھیں۔ اس کے بجائے، Cox نے LinkedIn پر کمپنی کے بانیوں میں سے ایک کو پیغام بھیجا، لیکن بعد میں ای میل بھیجنے کے بعد کچھ نہیں سنا۔
مسئلہ، جو اب طے شدہ ہے، ایک حالیہ رجحان کو نمایاں کرتا ہے جس میں باقاعدہ صارفین کمپنیوں کی مصنوعات یا ویب سائٹس میں سیکورٹی کی خامیاں تلاش کر رہے ہیں، لیکن ان کے پاس اس مسئلے کی ڈیولپرز کو اطلاع دینے کا کوئی واضح طریقہ نہیں ہے۔
اپریل کے شروع میں، فیشن خوردہ فروش ایکسپریس نے ویب سائٹ کے ایک بگ کو ٹھیک کیا تھا جس سے کسی کو بھی آرڈر کی تفصیلات اور دوسرے صارفین کی ذاتی معلومات تک رسائی کی اجازت دی گئی تھی، جب ایک صارف نے اس مسئلے کی نشاندہی کی، لیکن کمپنی کو الرٹ کرنے کا کوئی طریقہ نہیں ملا۔ اسی طرح کا ایک واقعہ دسمبر میں ہوم ڈپو میں شامل تھا: ایک سیکیورٹی محقق نے کمپنی کو سیکیورٹی لیپس کے بارے میں نجی طور پر آگاہ کرنے کی کوشش کی جو تقریباً ایک سال سے اس کے داخلی نظام تک رسائی کو بے نقاب کر رہی تھی، لیکن ان کی رپورٹوں کو اس وقت تک نظر انداز کر دیا گیا جب تک کہ TechCrunch نے کمپنی سے رابطہ نہیں کیا۔
سیکیورٹی کی خرابی کے پیش نظر مریضوں کے ڈیٹا کو فعال طور پر خطرے میں ڈال رہا تھا، TechCrunch نے 13 اپریل کو پریکٹس بائے نمبرز کو ایشو پر الرٹ کیا۔ کمپنی نے اس مسئلے کو ٹھیک کرنے کے لیے اپنے مریض پورٹل کو ہٹا دیا، اور اسے 17 اپریل کو دوبارہ آن لائن لایا۔
نمبرز کے شریک بانی اور چیف ٹیکنالوجی آفیسر، کرس لاؤ نے ٹیک کرنچ کو بتایا کہ کمپنی نے کمزوری کو ٹھیک کر دیا ہے، اور وہ 10 سے کم مریضوں کو مطلع کر رہی ہے کہ اس کے سرور لاگز کا حوالہ دیتے ہوئے، بگ کی وجہ سے ان کی معلومات سامنے آئی ہیں۔
کمپنی نے کہا کہ وہ متاثرہ مریضوں کو مطلع کرنے کے لیے متاثرہ دانتوں کی مشق کے ساتھ کام کر رہی ہے۔ لاؤ نے کہا کہ کمپنی نے بگ سے متعلق پچھلی سرگرمی کے شواہد کی نشاندہی نہیں کی تھی، یہ تجویز کرتا ہے کہ ممکنہ طور پر Cox اسے تلاش کرنے والا پہلا شخص تھا۔
Cox نے تصدیق کی کہ ایسا لگتا ہے کہ بگ ٹھیک ہو گیا ہے۔
ٹیک کرنچ کے پوچھے جانے پر، نمبر کے شریک بانی اور صدر روہت گرگ کی طرف سے نہ تو لاؤ اور نہ ہی پریکٹس، یہ کہیں گے کہ کیا کمپنی کے پیشنٹ پورٹل نے لانچ ہونے سے پہلے سیکیورٹی آڈٹ کرایا تھا۔ کمپنیاں عام طور پر سیکیورٹی آڈٹ سے گزرتی ہیں تاکہ یہ یقینی بنایا جا سکے کہ ان کی مصنوعات سائبر سیکیورٹی کے معیارات پر پورا اترتی ہیں، اور صارفین کی جانب سے ان کا استعمال شروع کرنے سے پہلے سیکیورٹی کی عام خامیوں سے پاک ہوتی ہیں۔
اگرچہ کوئی بھی سافٹ ویئر مکمل طور پر بگ سے پاک نہیں ہوتا ہے، لیکن وہ کمپنیاں جو حساس معلومات کو ہینڈل کرتی ہیں، جیسے ہیلتھ کیئر ڈیٹا، عام طور پر کسی بھی بڑی حفاظتی خامیوں کو دور کرنے کے لیے اپنے کوڈ کے تیسرے فریق کے جائزے تلاش کرتی ہیں۔
جب ان سے پوچھا گیا کہ کیا پریکٹس بائی نمبرز اپنی ویب سائٹ کو اپ ڈیٹ کرنے کا ارادہ رکھتی ہے تاکہ سیکیورٹی محققین کو سیکیورٹی کی خامیوں کے بارے میں کمپنی کو مطلع کرنے کی اجازت دی جائے، جیسے کہ کمزوری کے انکشاف کے پروگرام کے ذریعے، گرگ نے کہا کہ کمپنی اپنی ویب سائٹ کو اپ ڈیٹ کرنے کا ارادہ رکھتی ہے تاکہ لوگوں کو سیکیورٹی کے مسائل کی اطلاع دی جاسکے۔ کمپنی نے ٹائم لائن پیش نہیں کی۔
