amerikali
Yeni Üye
Diğer şeylerin yanı sıra, güvenli kimliklerle ilgilenen bir sağlayıcı olan D-Trust'un geçen hafta imza ve mühür kartlarına yönelik başvuru portalına bir saldırı bildirmesinin ardından, Kaos Bilgisayar Kulübü (CCC) sözcüsü Linus Neumann, bir e-postayla şirketle iletişime geçti Şirket. Anonim bir güvenlik araştırmacısının verilere açık bir API aracılığıyla eriştiğini bildirdi. Erişimin gerçekleştiği dört dönemi de listeleyen Neumann, “Buna göre hiçbir erişim koruması atlatılmadı” diyor.
Reklamcılık
Ancak “hacker paragrafı”nın yasal gri alanı ve D-Trust'un yaptığı suç duyurusu nedeniyle D-Trust ile iletişime geçmemiş, hemen CCC ile temasa geçmiştir. Veriler tamamen silindi. CCC, D-Trust'un enerjisini güvenlik seviyesini “bu yüzyılın ortak standartlarına” yükseltmeye adayacağını umuyor.
D-Trust'un kendisi de Perşembe akşamından itibaren mektuba yanıt verdi. Şirket, “mektuptaki ifadeleri değerlendirmek için ilgili güvenlik yetkilileri ve dış güvenlik uzmanlarıyla yakın işbirliği içinde” çalışmaya devam ediyor. Şirket, Neumann tarafından listelenen verilerin ötesinde API'ye erişilip erişilmediği konusunda herhangi bir açıklama yapmıyor.
API'yi aç
13 Ocak'ta “portal.d-trust.net” portalındaki bir arayüzden veriler okundu. “Elektronik sağlık profesyoneli kartlarına (eHBA) ve muayenehane veya kurum kartlarına (SMC-B) yönelik başvuru verileri” de etkilendi. Doktorların, sağlık hizmeti verilerinin alışverişini amaçlayan telematik altyapısına erişmek ve belgeleri imzalamak için bu özel kimlik bilgilerine ihtiyacı var. Şirket defalarca şunu vurguluyor: “Verilen imza ve mühür kartlarının yanı sıra eHBA ve SMC-B'nin işlevi ve güvenliği […] Erişim verileri (oturum açma bilgileri, şifre verileri) ve ödeme bilgileri” etkilenmez veya etkilenmez.
Olayın öğrenilmesinin ardından, Ärzteblatt'ın haberine göre, diğerlerinin yanı sıra Kuzey Ren Tabipler Birliği de insanları özellikle kimlik avı e-postalarına karşı dikkatli olmaları konusunda uyardı. Alman Tabipler Birliği de olayla ilgili olarak D-Trust ile temas halinde. Olayın öğrenilmesinin ardından tıbbi çıkar grubu, elektronik hasta dosyasının durdurulması çağrısında bulundu.
Veri manipülasyonu yok
“Ad ve soyad, e-posta adresi, doğum tarihi ve bazı durumlarda adres ve kimlik bilgileri” ele geçirilmiş olabilir. Ayrıca verilerin yalnızca okunduğu ve veriler üzerinde herhangi bir manipülasyon yapılmadığı da söyleniyor. D-Trust'a göre, D-Trust 22 Ocak'ta yaptığı açıklamada, şirketin “ilgili denetleyici makamlarla yakın işbirliği içinde olduğunu. D-Trust GmbH tarafından yapılan suç duyurusu sonucunda cezai soruşturma makamlarının da sürece dahil olduğunu” söyledi.
(mack)
Reklamcılık
Ancak “hacker paragrafı”nın yasal gri alanı ve D-Trust'un yaptığı suç duyurusu nedeniyle D-Trust ile iletişime geçmemiş, hemen CCC ile temasa geçmiştir. Veriler tamamen silindi. CCC, D-Trust'un enerjisini güvenlik seviyesini “bu yüzyılın ortak standartlarına” yükseltmeye adayacağını umuyor.
D-Trust'un kendisi de Perşembe akşamından itibaren mektuba yanıt verdi. Şirket, “mektuptaki ifadeleri değerlendirmek için ilgili güvenlik yetkilileri ve dış güvenlik uzmanlarıyla yakın işbirliği içinde” çalışmaya devam ediyor. Şirket, Neumann tarafından listelenen verilerin ötesinde API'ye erişilip erişilmediği konusunda herhangi bir açıklama yapmıyor.
API'yi aç
13 Ocak'ta “portal.d-trust.net” portalındaki bir arayüzden veriler okundu. “Elektronik sağlık profesyoneli kartlarına (eHBA) ve muayenehane veya kurum kartlarına (SMC-B) yönelik başvuru verileri” de etkilendi. Doktorların, sağlık hizmeti verilerinin alışverişini amaçlayan telematik altyapısına erişmek ve belgeleri imzalamak için bu özel kimlik bilgilerine ihtiyacı var. Şirket defalarca şunu vurguluyor: “Verilen imza ve mühür kartlarının yanı sıra eHBA ve SMC-B'nin işlevi ve güvenliği […] Erişim verileri (oturum açma bilgileri, şifre verileri) ve ödeme bilgileri” etkilenmez veya etkilenmez.
Olayın öğrenilmesinin ardından, Ärzteblatt'ın haberine göre, diğerlerinin yanı sıra Kuzey Ren Tabipler Birliği de insanları özellikle kimlik avı e-postalarına karşı dikkatli olmaları konusunda uyardı. Alman Tabipler Birliği de olayla ilgili olarak D-Trust ile temas halinde. Olayın öğrenilmesinin ardından tıbbi çıkar grubu, elektronik hasta dosyasının durdurulması çağrısında bulundu.
Veri manipülasyonu yok
“Ad ve soyad, e-posta adresi, doğum tarihi ve bazı durumlarda adres ve kimlik bilgileri” ele geçirilmiş olabilir. Ayrıca verilerin yalnızca okunduğu ve veriler üzerinde herhangi bir manipülasyon yapılmadığı da söyleniyor. D-Trust'a göre, D-Trust 22 Ocak'ta yaptığı açıklamada, şirketin “ilgili denetleyici makamlarla yakın işbirliği içinde olduğunu. D-Trust GmbH tarafından yapılan suç duyurusu sonucunda cezai soruşturma makamlarının da sürece dahil olduğunu” söyledi.
(mack)