Covid-Testergebnisse der Einwohner von Wyoming online veröffentlicht

Nach einem Mitarbeiterfehler veröffentlichte das Wyoming Health Department die Covid-19-Testergebnisse von fast 165.000 Staatsbürgern auf einem Speicherplatz, der Personen mit einer aktiven Internetverbindung ausgesetzt war.

Das WHD gab Ende April eine formelle Ankündigung über den Sicherheitsschluckauf ab. Ein WHD-Mitarbeiter scheint die Covid-Testergebnisdaten von ungefähr einem Viertel der Bevölkerung des Bundesstaates auf einen Eimer hochgeladen zu haben, der völlig ungesichert war.

Da es bei vielen Datenlecks vorkommt, blieben die Informationen nach dem Vorfall noch lange offen. Die Daten wurden vor fast sechs Monaten online gestellt und das Sicherheitsproblem wurde erst Mitte März entdeckt.

Die undichte Datenbank enthielt nicht nur Covid-Testergebnisse. Die Ergebnisse des Alkohol-Atemanalysators von über 18.000 Personen gehörten ebenfalls zu den ungesicherten Akten. Die Aufzeichnungen enthielten auch Patientennamen oder ID-Nummern, Geburtsdaten und Privatadressen.

Die Covid-Testergebnisse erstreckten sich über einen Zeitraum zwischen Anfang 2020 und März 2021. Die Ergebnisse des Atemanalysators in der undichten Datenbank wurden zwischen 2012 und 2021 gesammelt - ein bedeutender Zeitrahmen.

Ähnliche Vorkommnisse sind leider nicht selten. Eine Threatpost-Geschichte erinnerte die Leser daran, dass im Dezember 2020 aufgrund eines schlecht gesicherten Servers unglaubliche 45 Millionen medizinische Bilder den schlechten Schauspielern ausgesetzt waren, die an ihnen interessiert waren.

Obwohl das Gesundheitsamt von Wyoming der Öffentlichkeit versicherte, dass keine finanziellen, bankbezogenen, sozialen Sicherheits- oder Krankenversicherungsdaten an dem Leck beteiligt waren, macht dies den Fall nicht weniger bedeutsam. Schlechte Schauspieler können sensible und persönlich identifizierbare Informationen, die in ähnlichen Lecks erhalten wurden, für eine Reihe illegaler Zwecke verwenden, von Betrug bis Erpressung.

Die Tatsache, dass dieser gesamte Vorfall aufgrund eines relativ einfachen menschlichen Fehlers Realität wurde, macht deutlich, dass alle Mitarbeiter geschult werden müssen und ein sehr starkes Bewusstsein für die Bedeutung der Cybersicherheit auf allen Ebenen eines Unternehmens geschaffen werden muss, nicht nur innerhalb des Unternehmens die IT-Abteilung.

Der WDH bemüht sich, das digitale Chaos zu beseitigen. Alle ungesicherten Dateien wurden bereits aus dem exponierten GitHub-Repository gelöscht, und die Mitarbeiter werden erneut in digitaler Sicherheit geschult. Leider gibt es keine Garantie dafür, dass eine andere unabhängige Organisation in einigen Wochen keinen ähnlichen Schluckauf erleiden wird.

April 30, 2021

Antworten