Ein neuer Tag, ein neuer Datenverstoß im Gesundheitswesen: Stollen Sie 3,1 Millionen Patientenakten offen
Das Einfügen von Daten von Millionen von Personen in eine schlecht konfigurierte Datenbank ist ein Fehler, den viel zu viele Unternehmen machen. Wenn die Exposition festgestellt wird, müssen die Schuldigen jedoch sicherstellen, dass das Problem ordnungsgemäß offengelegt wird und dass Maßnahmen ergriffen werden, um solche Vorfälle in Zukunft zu verhindern. Wie Forscher wie Bob Diachenko bezeugen können, tun diese Menschen leider manchmal lieber so, als wäre nichts passiert.
Table of Contents
Bob Diachenko entdeckte eine Datenbank, in der die persönlichen Daten von 3,1 Millionen Patienten veröffentlicht wurden
Am Dienstag veröffentlichte Bob Diachenko einen LinkedIn- Beitrag zu einer kürzlich veröffentlichten Datenbank mit den persönlichen Daten von etwa 3,1 Millionen Menschen. Zu den durchgesickerten Informationen gehörten Namen, E-Mail- und physische Adressen, Telefonnummern sowie die Einrichtungen, in denen die betroffenen Personen medizinisch behandelt werden. Es war klar, dass die Daten von einer im Gesundheitssektor tätigen Organisation veröffentlicht wurden, und nach einer kurzen Untersuchung stellte Diachenko fest, dass die Datenbank Adit gehörte, einer Plattform, die Ärzten und Krankenhäusern hilft, ihre Online-Präsenz aufzubauen und ein System zu erstellen So können Patienten mit wenigen Klicks Termine buchen.
Zu sagen, dass Bob Diachenko diese Art von Lecks nicht fremd ist, wäre eine Untertreibung. Er hat eine Schlüsselrolle bei der Entdeckung und Sicherung von Milliarden von Datensätzen gespielt, die in schlecht konfigurierten Datenbanken gespeichert sind. Sobald er wusste, dass die Daten zu Adit gehörten, verschwendete er keine Zeit damit, die Organisation zu kontaktieren und das Leck aufzudecken.
Adit hat nichts unternommen, um die Datenbank zu sichern
Es ist nicht ganz klar, wann der Elasticsearch-Cluster zum ersten Mal verfügbar gemacht wurde, aber es ist höchstwahrscheinlich in den Tagen vor dem 12. Juli geschehen, da die BinaryEdge-Suchmaschine ihn dann indiziert hat. Einen Tag später hatte Bob Diachenko es bereits entdeckt und Adit kontaktiert. Leider erhielt er für die nächsten neun Tage keine Antwort.
Dies sind schlechte Nachrichten für alle, die von dem Leck betroffen sind. Jüngste Experimente haben gezeigt, dass undichte Datenbanken mehrmals täglich angegriffen werden und dass jede einzelne Warnung über einen schlecht gesicherten Server als Notfall behandelt werden muss. Adit hat das nicht getan, und wir können nur spekulieren, wie viele Cyberkriminelle auf die Daten zugegriffen haben, während sie noch online waren.
Irgendwann beschloss ein automatisiertes Skript, das Leck zu beenden.
Der Meow-Bot zerstörte Adits Daten
Am 22. Juli, zehn Tage nach der Indizierung der Datenbank durch BinaryEdge, beschloss Diachenko, einen Blick darauf zu werfen, ob Adit endlich dazu gekommen war, sie zu sichern. Es hatte nicht.
Der Elasticsearch-Cluster war immer noch online und von überall auf der Welt zugänglich. Alle darin enthaltenen Zeilen wurden jedoch durch zufällige alphanumerische Zeichenfolgen ersetzt, an die das Wort "Miau" angehängt war. Die Datenbank wurde vom Meow-Bot als Ziel ausgewählt.
Obwohl es vor relativ kurzer Zeit erschien, ist es dem Meow-Bot bereits gelungen, Tausende von Datenbanken zu zerstören. Es ist ein automatisiertes Skript, das nach Elasticsearch- und MongoDB-Installationen sucht, die mit dem Internet verbunden, aber nicht durch ein Kennwort geschützt sind und die darin enthaltenen Daten beschädigen. Die Klartextinformationen werden durch zufällige Zeichenfolgen ersetzt, die immer mit "Miau" enden, daher der Name.
Es gibt Hinweise darauf, dass der Meow-Bot die Daten nicht stiehlt, bevor er sie beschädigt, und keine Lösegeldnotizen hinterlässt. Höchstwahrscheinlich wurde es von einem Hacker erstellt, der Organisationen dabei helfen möchte, ihre Daten zu schützen, indem er ihnen eine harte Lektion in Cybersicherheit erteilt. Wie auch immer, Tatsache ist, dass in diesem speziellen Fall die Patientendaten nach dem Angriff nicht mehr offengelegt wurden.
Wer war betroffen und worauf müssen sie achten?
Die Ärzte und Gesundheitsorganisationen, die Adit verwenden, wissen möglicherweise nicht einmal über das Leck Bescheid, was bedeutet, dass sie ihre Patienten nicht informieren können. Betroffene Personen könnten darauf aufmerksam gemacht werden, wenn Adit sich zur Zusammenarbeit entscheidet. Angesichts der Tatsache, dass der Vorfall noch nicht öffentlich bekannt gegeben wurde, scheint dies derzeit nicht sehr wahrscheinlich zu sein.
Die Daten sind im Klartext nicht mehr online, aber sie blieben eine ganze Weile dort und es besteht die Möglichkeit, dass sie in die falschen Hände geraten. Es ist schwer zu sagen, welcher Teil der Adit-Nutzer betroffen war. Wenn Sie also jemals mit der Plattform interagiert haben, müssen Sie bei potenziellen Betrügereien vorsichtiger sein.
