LabCorp kann keine Unterbrechung abfangen, da eine neue Datenverletzung aufgedeckt wird

LabCorp Data Breach

Die Beteiligung einer Gesundheitsorganisation an einem Cybersicherheitsvorfall kann niemals eine gute Nachricht sein. Wenn es in weniger als elf Monaten zwei separate Angriffe abwehren muss, ist das noch besorgniserregender, und wenn seine Kunden die Konsequenzen von drei unabhängigen Sicherheitsverletzungen in etwa eineinhalb Jahren erleiden müssen, kann man das mit Sicherheit sagen Die Probleme sind sehr bedeutend. Leider ist genau das mit LabCorp passiert, einem der weltweit größten Labornetzwerke. Ende Januar stellte sich heraus, dass seine Kunden zum dritten Mal in etwas mehr als 18 Monaten einem Risiko ausgesetzt waren, und dieser Verstoß scheint schwerwiegender zu sein als die beiden vorherigen. Bevor wir jedoch darauf eingehen, wollen wir uns noch einmal an LabCorps frühere Probleme mit der Cybersicherheit erinnern.

Der erste Vorfall ereignete sich im Juli 2018. Damals entdeckte LabCorp verdächtige Aktivitäten auf seinen Systemen, die später von der SamSam-Ransomware verursacht wurden. Das IT-Team hat betroffene Computer und Server heruntergefahren, und die Bedrohung wurde relativ schnell eingedämmt. Anscheinend hatte LabCorp Backups, und die Situation wurde gelöst, ohne dass vertrauliche Daten verloren gingen oder verloren gingen.

Ein wenig anders war es im Juni 2019, als LabCorp zugab, dass eine Datenverletzung die persönlichen und finanziellen Informationen von rund 7,7 Millionen Patienten gefährdet hatte. Das Gesicht des Labornetzwerks wurde in gewissem Maße dadurch gerettet, dass der Angriff nicht auf LabCorp selbst gerichtet war. Stattdessen ereignete sich der Datenverstoß bei der American Medical Collection Agency (AMCA) - einer Abrechnungsfirma, die mit etlichen Gesundheitsorganisationen zusammengearbeitet hat. Der Angriff war in der Tat gewaltig, und die Auswirkungen waren so schrecklich, dass AMCA bald keine andere Wahl hatte, als Insolvenz anzumelden.

LabCorp war nicht für diesen besonderen Vorfall verantwortlich. Für den jüngsten Verstoß ist jedoch ausschließlich das Labornetz verantwortlich.

Durch eine Sicherheitslücke auf der LabCorp-Website wurden Tausende von Dokumenten gefährdet

Im vergangenen Monat entdeckte Zach Whittaker von TechCrunch einen Fehler im internen CRM-System (Customer Relationship Management) von LabCorp. Das System selbst war mit dem Internet verbunden, aber durch ein Passwort geschützt. Whittaker stellte jedoch fest, dass einer der wichtigsten Teile des CRM, der Mechanismus, mit dem die medizinischen Dokumente der Patienten aus dem LabCorp-Backend abgerufen werden, ohne Authentifizierung zugänglich war.

Nach Whittakers Worten konnte "jeder, der wusste, wo er suchen sollte", das Datenleck lokalisieren, und zu seinem Entsetzen entdeckte der Reporter dann ein Dokument, das bereits von Google gecrawlt und zwischengespeichert worden war. Um die Sache noch schlimmer zu machen, erkannte Whittaker auch, dass er durch Erhöhen des Namens des Dokuments (der in seiner Adressleiste sichtbar war) Zugriff auf andere Dateien erhalten konnte.

Der TechCrunch-Reporter verwendete ein Computerskript, um den Prozess zu automatisieren und den Umfang der Sicherheitsverletzung besser zu verstehen. Anstatt den Inhalt aller Dokumente zu durchsuchen, fragt sein Programm den Server nur nach Dateien mit inkrementell unterschiedlichen Namen. Es stellte sich heraus, dass die Resonanz für nicht weniger als 10.000 Dokumente positiv war.

Die freigelegten Dokumente enthielten viele vertrauliche Informationen

Whittaker wollte wissen, wie schwerwiegend das Leck war, bevor er es LabCorp meldete. Er nahm eine kleine Probe der belichteten Dokumente und öffnete sie, um zu sehen, was darin enthalten war. Die Dateien enthielten Namen, Geburtsdaten, Labortestergebnisse und Diagnoseberichte. In einigen Fällen waren die Sozialversicherungsnummern auch in den Dokumenten verfügbar.

Angesichts der Art der durchgesickerten Informationen drohen für LabCorp unter Umständen hohe Bußgelder im Rahmen des Gesetzes über die Portabilität und Rechenschaftspflicht von Krankenversicherungen (HIPAA). Bedenklicher ist jedoch, dass die aufgedeckten Details die Hauptziele für Identitätsdiebstahl bei Betroffenen sind. Aus diesem Grund verschwendete Whittaker keine Zeit, LabCorp über den Fehler zu informieren, und der Server wurde bald offline geschaltet.

LabCorp zögert, über den Vorfall zu sprechen

Zack Whittaker hatte es nicht leicht zu bestätigen, dass die durchgesickerten Daten echt waren. Einige der betroffenen Personen, mit denen er Kontakt aufnehmen wollte, waren verstorben, während andere auf seine Versuche, Kontakt aufzunehmen, nicht reagierten. Eine Person hat gesagt, dass die Informationen in der Akte echt sind, aber es muss gesagt werden, dass es auch ohne deren Bestätigung kaum Zweifel geben sollte, dass die offengelegten Dokumente gültige Daten enthalten. Immerhin entdeckte der Cybersecurity-Reporter von TechCrunch sie auf dem Server von LabCorp, und das Laborunternehmen schloss das Leck selbst.

Trotzdem weigert sich LabCorp, eine offizielle Erklärung zu diesem Thema abzugeben. Die beiden vorangegangenen Cybersicherheitsvorfälle wurden dank der Einreichung von SEC-Unterlagen der Öffentlichkeit zur Kenntnis gebracht. Jetzt ist LabCorp jedoch nicht mehr bereit, als nur eine kurze Antwort eines Sprechers zu geben. Das Unternehmen teilte TechCrunch mit, dass der Fehler nun behoben ist, und versprach, die betroffenen Patienten zu informieren. LabCorp kann nicht wirklich leugnen, dass die durchgesickerten Dokumente auf seinen Servern gehostet wurden. Laut TechCrunch wird jedoch nicht bestätigt, dass die Dateien "LabCorp-Informationen" enthalten.

Wir sind uns nicht sicher, ob dies dem in North Carolina ansässigen Unternehmen einen Gefallen tut. Es ist das dritte Mal, dass LabCorp die Nachricht aus den falschen Gründen veröffentlicht hat, und im Gegensatz zu den ersten beiden Vorfällen scheint es diesmal nicht besonders transparent zu sein. Hoffentlich wird jemand erkennen, dass dies keine sehr gute Strategie ist, und bald werden wir mehr über die potenzielle Exposition direkt aus dem Maul des Pferdes erfahren.

February 12, 2020

Antworten