ทีมนักวิจัยความปลอดภัย 7 คนพบช่องโหว่ในแอปพลิเคชั่น open-source ที่ชื่อว่า OpenEMR แอปพลิเคชั่นสำหรับบริหารจัดการประวัติทางการแพทย์ทั่วโลก และมีข้อมูลของผู้ป่วยมากกว่า 100 ล้านราย
ทางทีมนักวิจัยได้แจ้งผู้พัฒนาแอปพลิเคชั่น OpenEMR ให้แก้ไขช่องโหว่และอัพเดตแอปพลิเคชั่น โดยผู้ใช้ต้องอัพเดตโปรแกรมเป็นเวอร์ชั่น 5.0.1.4 เพื่อแก้ไขช่องโหว่
ช่องโหว่ที่พบผ่านการตรวจสอบทั้งเครื่องมือทดสอบ และการทดสอบแบบ Manual โดยนักวิจัย มีหนึ่งในช่องโหว่ที่อันตรายเนื่องจากสามารถข้ามกระบวนการล็อคอินผ่านช่องทางหน้าลงทะเบียน
หัวหน้าทีมของ DataBreaches.net คุณ Cody Zacharias บอกว่า “การข้ามกระบวนการยืนยันตัวตนเป็นช่องโหว่ที่อันตรายที่สุด เพราะนอกจากจะสามารถใส่คำสั่ง SQL เข้าไปในระบบได้แล้ว แฮกเกอร์ยังสามารถอ่านบันทึกข้อมูลทางการแพทช์ในระบบของ EMR หรือแย่ไปกว่านั้นคือการแก้ไข”
สาเหตุที่แฮกเกอร์เลือก OpenEMR ก็เพราะ OpenEMR ถูกใช้อย่างแพร่หลายในทางการแพทย์ และยังเป็นโปรแกรมแบบ Open-source ที่สามารถดัดแปลงได้
CEO ของ OpenEMR.org นาย Brady G. Miller ขอบคุณกับทีมนักวิจัยความปลอดภัยที่ช่วยพัฒนาความปลอดภัยให้กับ OpenEMR
เพราะฉะนั้นตอนนี้องค์กรไหนที่ใช้งาน OpenEMR ก็ต้องรีบอัพเดต เพื่อความปลอดภัยของข้อมูลลูกค้าและชื่อเสียงขององค์กร
Author: Tomáš Foltýn
Source: https://www.welivesecurity.com/2018/08/08/software-bugs-100-million-health-records-risk-exposure/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
ทีมนักวิจัยความปลอดภัย 7 คนพบช่องโหว่ในแอปพลิเคชั่น open-source ที่ชื่อว่า OpenEMR แอปพลิเคชั่นสำหรับบริหารจัดการประวัติทางการแพทย์ทั่วโลก และมีข้อมูลของผู้ป่วยมากกว่า 100 ล้านราย
ทางทีมนักวิจัยได้แจ้งผู้พัฒนาแอปพลิเคชั่น OpenEMR ให้แก้ไขช่องโหว่และอัพเดตแอปพลิเคชั่น โดยผู้ใช้ต้องอัพเดตโปรแกรมเป็นเวอร์ชั่น 5.0.1.4 เพื่อแก้ไขช่องโหว่
ช่องโหว่ที่พบผ่านการตรวจสอบทั้งเครื่องมือทดสอบ และการทดสอบแบบ Manual โดยนักวิจัย มีหนึ่งในช่องโหว่ที่อันตรายเนื่องจากสามารถข้ามกระบวนการล็อคอินผ่านช่องทางหน้าลงทะเบียน
หัวหน้าทีมของ DataBreaches.net คุณ Cody Zacharias บอกว่า “การข้ามกระบวนการยืนยันตัวตนเป็นช่องโหว่ที่อันตรายที่สุด เพราะนอกจากจะสามารถใส่คำสั่ง SQL เข้าไปในระบบได้แล้ว แฮกเกอร์ยังสามารถอ่านบันทึกข้อมูลทางการแพทช์ในระบบของ EMR หรือแย่ไปกว่านั้นคือการแก้ไข”
สาเหตุที่แฮกเกอร์เลือก OpenEMR ก็เพราะ OpenEMR ถูกใช้อย่างแพร่หลายในทางการแพทย์ และยังเป็นโปรแกรมแบบ Open-source ที่สามารถดัดแปลงได้
CEO ของ OpenEMR.org นาย Brady G. Miller ขอบคุณกับทีมนักวิจัยความปลอดภัยที่ช่วยพัฒนาความปลอดภัยให้กับ OpenEMR
เพราะฉะนั้นตอนนี้องค์กรไหนที่ใช้งาน OpenEMR ก็ต้องรีบอัพเดต เพื่อความปลอดภัยของข้อมูลลูกค้าและชื่อเสียงขององค์กร
Author: Tomáš Foltýn
Source: https://www.welivesecurity.com/2018/08/08/software-bugs-100-million-health-records-risk-exposure/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: