LabCorp kan ikke få en pause, da en ny dataforbrydelse afsløres

En sundhedsorganisations inddragelse i en cybersikkerhedshændelse kan aldrig være gode nyheder. Hvis det har at gøre med to separate angreb i løbet af mindre end elleve måneder, er det endnu mere bekymrende, og når dets kunder skal lide konsekvenserne af tre uafhængige sikkerhedsbrud på cirka halvandet år, er det sikkert at sige, at problemerne er ret betydelige. Desværre er det nøjagtigt, hvad der er sket med LabCorp, et af verdens største laboratorienetværk. I slutningen af januar blev det klart, at dets kunder blev sat i fare for tredje gang på lidt over 18 måneder, og denne overtrædelse synes at være mere alvorlig end de to foregående. Inden vi kommer til det, lad os imidlertid minde os om LabCorps tidligere cybersikkerhed.

Den første hændelse fandt sted i juli 2018. Dengang opdagede LabCorp mistænkelig aktivitet på sine systemer, som det senere viste sig at være forårsaget af SamSam ransomware. IT-teamet trak de berørte computere og servere ned, og truslen var relativt hurtigt indeholdt. LabCorp havde tilsyneladende sikkerhedskopier, og situationen blev løst uden at følsomme data gik tabt eller lækkede.

Tingene var lidt anderledes i juni 2019, da LabCorp indrømmede, at en dataovertrædelse havde udsat de personlige og økonomiske oplysninger for omkring 7,7 millioner patienter i fare. Laboratorienetværkets ansigt blev i nogen grad reddet af det faktum, at angrebet ikke var rettet mod LabCorp selv. I stedet for skete dataovertrædelsen hos American Medical Collection Agency (AMCA) - et faktureringsfirma, der arbejdede med en hel del sundhedsorganisationer. Angrebet var faktisk massivt, og nedfaldet var så forfærdeligt, at AMCA snart ikke havde andet valg end at indgive konkurs.

LabCorp var ikke skylden for den særlige hændelse. For den seneste overtrædelse ligger ansvaret dog udelukkende på laboratorienetværket.

En sikkerhedsfejl på LabCorps websted sætter tusinder af dokumenter i fare

Sidste måned opdagede TechCrunchs Zach Whittaker en fejl med LabCorps interne Customer Relationship Management (CRM) -system. Selve systemet var tilsluttet internettet, men det var beskyttet af en adgangskode. Whittaker fandt imidlertid ud af, at en af CRM's mest afgørende dele, mekanismen, der trækker patienters medicinske dokumenter fra LabCorps bagside, var tilgængelig uden godkendelse.

Med Whittakers ord, "enhver, der vidste, hvor de skulle se" kunne lokalisere datalækagen, og til sin frygt, opdagede reporteren et dokument, der allerede var blevet gennemgået og cache af Google. For at gøre tingene værre, indså Whittaker også, at han ved at øge dokumentets navn (som var synlig i hans adresselinje) kunne få adgang til andre filer.

TechCrunchs reporter brugte et computerscript til at automatisere processen og få en bedre forståelse af omfanget af overtrædelsen. I stedet for at scanne gennem indholdet af alle dokumenter, ville hans program bare forespørge serveren om eksistensen af filer med trinvis forskellige navne. Det viste sig, at svaret var positivt for ikke mindre end 10 tusind dokumenter.

De udsatte dokumenter lækkede en masse følsomme oplysninger

Whittaker ville forstå, hvor alvorlig lækagen var, før han rapporterede den til LabCorp. Han tog en lille prøve af de udsatte dokumenter og åbnede dem for at se, hvad der er i dem. Filerne indeholdt navne, fødselsdato, laboratorietestresultater og diagnostiske rapporter. I nogle tilfælde var folks sociale sikkerhedsnumre også tilgængelige i dokumenterne.

I betragtning af arten af de lækkede oplysninger kan LabCorp stå over for nogle tunge bøder i henhold til Health Insurance Portability and Accountability Act (HIPAA), men måske mere foruroligende gør de udsatte detaljer de berørte individer til primære mål for identitetstyveri. Derfor spildte Whittaker ingen tid med at informere LabCorp om fejlen, og serveren blev hurtigt trukket offline.

LabCorp er tilbageholdende med at tale om hændelsen

Zack Whittaker havde ikke en let tid på at bekræfte, at de lækkede data var ægte. Nogle af de berørte personer, han forsøgte at kontakte, var død, mens andre ikke reagerede på hans forsøg på at komme i kontakt. En person sagde, at oplysningerne i filen var ægte, men det må siges, at selv uden deres bekræftelse, skulle der være ringe tvivl i nogens sind om, at de udsatte dokumenter indeholder gyldige data. Når alt kommer til alt opdagede TechCrunchs cybersikkerhedsreporter dem på LabCorps server, og laboratorieselskabet lukkede selve lækagen.

Trods dette nægter LabCorp at afgive en officiel erklæring om sagen. De to foregående cybersikkerhedshændelser blev bragt offentlighedens opmærksomhed takket være SEC-arkiver, men nu er LabCorp uvillige til at give noget mere end et kort svar fra en talsperson. Virksomheden fortalte TechCrunch, at fejlen nu er klemt, og det lovede at informere de berørte patienter. LabCorp kan ikke rigtig benægte det faktum, at de lækkede dokumenter blev hostet på dens servere, men ifølge TechCrunch nægter den at bekræfte, at filerne indeholder "LabCorp-information."

Vi er ikke sikre på, om dette gør det North Carolina-baserede selskab nogen favoriserer. Det er tredje gang, at LabCorp har lavet nyheden af alle de forkerte grunde, og i modsætning til de to første hændelser synes denne gang det ikke at være særlig gennemsigtigt. Forhåbentlig vil nogen indse, at dette ikke er en meget god strategi, og snart får vi høre mere om den potentielle eksponering direkte fra hestens mund.