En anden dag, et andet brud på sundhedsvæsenets data: Adit Left 3,1 millioner patienter registreret
At placere millioner af menneskers data i en dårligt konfigureret database er en fejl, som alt for mange organisationer begår. Når eksponeringen findes, skal de skyldige mennesker dog sikre, at problemet afsløres korrekt, og at der træffes foranstaltninger for at forhindre sådanne hændelser i fremtiden. Desværre, som forskere som Bob Diachenko kan vidne, nogle gange foretrækker disse mennesker at handle som om intet er sket.
Table of Contents
Bob Diachenko opdagede en database, der eksponerede de personlige oplysninger fra 3,1 millioner patienter
Tirsdag offentliggjorde Bob Diachenko et LinkedIn- indlæg om en nyligt eksponeret database, der indeholder personoplysninger fra omkring 3,1 millioner mennesker. De lækkede oplysninger omfattede navne, e-mail og fysiske adresser, telefonnumre samt de institutioner, hvor de berørte personer modtager medicinsk behandling. Det var tydeligt, at dataene var blevet eksponeret af en organisation, der arbejder i sundhedsområdet, og efter en hurtig undersøgelse indså Diachenko, at databasen tilhørte Adit, en platform, der hjælper læger og hospitaler med at opbygge deres online tilstedeværelse og skabe et system der lader patienter booke aftaler med et par klik.
At sige, at Bob Diachenko ikke er fremmed for disse typer lækager, ville være en underdrivelse. Han har spillet en nøglerolle i opdagelsen og sikringen af milliarder af poster, der er gemt i dårligt konfigurerede databaser. Da han først vidste, at dataene tilhørte Adit, spildte han ingen tid på at kontakte organisationen og afsløre lækagen.
Adit gjorde intet for at sikre databasen
Det er ikke helt klart, hvornår Elasticsearch-klyngen først blev eksponeret, men det skete sandsynligvis i dagene før den 12. juli, fordi det var, da BinaryEdge-søgemaskinen indekserede den. En dag senere havde Bob Diachenko allerede opdaget det og havde kontaktet Adit. Desværre modtog han intet svar i de næste ni dage.
Dette er dårlige nyheder for alle, der er blevet påvirket af lækagen. Nylige eksperimenter har vist, at utæt databaser bliver angrebet flere gange om dagen, og at hver eneste alarm om en dårligt sikret server skal behandles som en nødsituation. Adit gjorde det ikke, og vi kan kun spekulere i, hvor mange cyberkriminelle der har adgang til dataene, mens de stadig var online.
På et tidspunkt besluttede et automatiseret script at stoppe lækagen.
Meow-botten ødelagde Adit's data
Den 22. juli, ti dage efter, at databasen blev indekseret af BinaryEdge, besluttede Diachenko at tage et kig og se, om Adit endelig var kommet rundt for at sikre den. Det havde det ikke.
Elasticsearch-klyngen var stadig online og tilgængelig overalt i verden. Alle linier inde i det blev dog erstattet af tilfældige alfanumeriske strenge med ordet "miau" knyttet til dem. Databasen var blevet målrettet af Meow-botten.
Selvom det fremkom relativt for nylig, har Meow-botten allerede formået at ødelægge tusinder af databaser. Det er et automatiseret script, der ser efter Elasticsearch og MongoDB-installationer, der er forbundet til internettet, men ikke er beskyttet af en adgangskode og ødelægger dataene inde i dem. Placetekstinformationen erstattes af tilfældige strenge, der altid ender med "meow", derav navnet.
Bevis tyder på, at Meow-bot ikke stjæler dataene, før de ødelægges, og at det ikke efterlader nogen løsepenge. Det er sandsynligvis oprettet af en årvågen hacker, der ønsker at hjælpe organisationer med at sikre deres data ved at lære dem en hård lektion i cybersikkerhed. Uanset hvad, sagen er, at patientens data ikke længere blev udsat for efter angrebet i dette særlige tilfælde.
Hvem blev berørt, og hvad har de brug for at passe på?
Lægerne og sundhedsorganisationer, der bruger Adit, ved måske ikke engang om lækagen, hvilket betyder, at de ikke har nogen måde at informere deres patienter om. Berørte personer kan blive gjort opmærksom på det, hvis Adit beslutter at samarbejde, men i betragtning af det faktum, at det endnu ikke har offentliggjort hændelsen, synes dette ikke meget sandsynligt på dette tidspunkt.
Dataene er ikke længere online i sin klartekstform, men de blev der et stykke tid, og der er enhver chance for, at de faldt i de forkerte hænder. Det er vanskeligt at sige, hvilken del af Adits brugere, der blev berørt, så hvis du nogensinde har interageret med platformen, skal du være mere forsigtig med potentielle svindel.
