Tausende von Patientendaten wurden durch falsch konfigurierte Amazon S3-Buckets verletzt

Medico Data Leak Amazon S3 Buckets

Unglücklicherweise sind Vorfälle, in denen große und kleine Unternehmen aufgrund schlecht konfigurierter Datenbanken und Server große Mengen personenbezogener Daten dem Internet aussetzen, an der Tagesordnung. Im vergangenen Monat haben beispielsweise Forscher von UpGuard und DataBreaches.net unabhängig voneinander zwei falsch konfigurierte Amazon S3-Buckets gefunden, die zusammen mehr als 300.000 Dateien enthielten, die alle Arten von Gesundheitsakten enthielten. Obwohl die beiden Teams ihre Arbeit nicht koordinierten und die Eimer mit unterschiedlichen Methoden entdeckt wurden, stellte sich schnell heraus, dass die Daten demselben Unternehmen gehörten - Medico, Inc.

Über 90 GB an persönlichen und geschäftlichen Daten wurden offen gelassen

Vorhersehbarerweise wurden in den Eimern viele Details in Bezug auf den medizinischen Zustand ahnungsloser Patienten freigelegt. Es gab digitalisierte Untersuchungs- und Behandlungsnotizen, gescannte Rezepte und eine Vielzahl anderer Dokumente im Zusammenhang mit dem Gesundheitswesen. Das klingt für sich genommen ziemlich schlecht. Es ist leider nur der Anfang.

Zusätzlich zu den medizinischen Unterlagen der Menschen hat Medico in den falsch konfigurierten Eimern auch eine ganze Reihe von Kalkulationstabellen für das Geschäft von Medico und seinen Partnern hinterlassen. Die Experten von UpGuard haben nicht zu viele Details über die Vertraulichkeit der Daten untersucht, sie haben jedoch festgestellt, dass dies "dem Unternehmen oder seinen Kunden schaden könnte".

Es gab auch eine ganze Reihe von Versicherungsdaten, wobei die EOB-Dokumente (Explanation of Benefits) einen großen Teil der aufgedeckten Informationen ausmachen. Zusätzlich zu den persönlichen Daten und den Kontaktdaten enthüllen diese Papiere Kranken- und Behandlungserfahrungen, die bei Missbrauch den Opfern erhebliche Probleme bereiten können. In einigen Fällen enthüllten die EOBs auch finanzielle Details, einschließlich Kreditkartennummern und CVVs. Um das Bild zu vervollständigen, enthielten die schlecht konfigurierten Eimer von Medico auch Vorladungen und Anfragen nach medizinischen Unterlagen, die noch sensiblere Daten wie Sozialversicherungsnummern enthielten.

Last but not least sind einige der internen Anmeldeinformationen und der Kommunikation von Medico durchgesickert, und sie geben uns einen besorgniserregend klaren Einblick in den Umgang des Unternehmens mit dem Thema Datensicherheit.

Die falsch konfigurierten S3-Buckets enthüllten einige von Medicos weniger als perfekten Datenschutzpraktiken

Zusätzlich zu allen medizinischen, persönlichen und geschäftlichen Daten wurden in den betroffenen S3-Buckets auch einige Tabellen mit Anmeldeinformationen für Teile der Back-End-Infrastruktur von Medico gespeichert. Obwohl dies sehr wohl die schnellste, wenn nicht die bequemste Möglichkeit ist, allen Mitarbeitern Zugriff auf die wichtigen Passwörter zu gewähren, haben wir in der Vergangenheit erwähnt, dass es niemals eine gute Idee ist, diese Art von Daten im Klartext zu belassen. Sie können jetzt sehen, warum.

Es muss gesagt werden, dass die fraglichen Tabellenkalkulationen durch ein Passwort geschützt waren, das zumindest theoretisch jeden, der die Dateien gefunden hat, daran gehindert hätte, sie zu öffnen. Leider haben sich die Medico-Mitarbeiter auch gegenseitig die Passwörter per E-Mail geschickt, mit denen die Tabellen geöffnet wurden, und die IT-Abteilung des Unternehmens hat ihr System so konzipiert, dass die gesamte interne Kommunikation automatisch in denselben S3-Buckets gesichert wird. Mit anderen Worten, die Passwörter, die die Tabellenkalkulationen schützen sollten, wurden am selben Ort wie die Tabellenkalkulationen selbst gespeichert. Sie standen im Klartext zur Verfügung und waren von überall auf der Welt zugänglich.

Sowohl GuardUp als auch DataBreaches.net gaben an, dass Medico die Konfigurationsfehler behebt, kurz nachdem sie benachrichtigt wurden. Angesichts des sensiblen Charakters der freigelegten Daten war eine schnelle Reaktion unabdingbar, und Medico verdient einen Klaps auf den Rücken, um die Eimer zu sichern, sobald sie von dem Leck hörten.

Dies sollte jedoch keine Entschuldigung für das Speichern von Kennwörtern in Microsoft Office-Dokumenten sein, die in der Cloud gehostet werden. Es sollte auch keine Entschuldigung für allzu häufige Konfigurationsfehler sein.

August 12, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 3 + 3 ?