Μια άλλη μέρα, μια άλλη παραβίαση δεδομένων υγειονομικής περίθαλψης: Adit αριστερά 3,1 εκατομμύρια αρχεία ασθενών που έχουν εκτεθεί

Η τοποθέτηση δεδομένων εκατομμυρίων ανθρώπων σε μια κακώς διαμορφωμένη βάση δεδομένων είναι ένα λάθος που κάνουν πάρα πολλοί οργανισμοί. Όταν βρεθεί η έκθεση, ωστόσο, τα άτομα που ευθύνονται πρέπει να διασφαλίσουν ότι το πρόβλημα αποκαλύπτεται σωστά και ότι λαμβάνονται μέτρα για την πρόληψη τέτοιων συμβάντων στο μέλλον. Δυστυχώς, όπως μπορούν να καταθέσουν ερευνητές όπως ο Bob Diachenko, μερικές φορές, αυτοί οι άνθρωποι προτιμούν να ενεργούν σαν να μην έχει συμβεί τίποτα.

Ο Bob Diachenko ανακάλυψε μια βάση δεδομένων που εκθέτει τα προσωπικά στοιχεία 3,1 εκατομμυρίων ασθενών

Την Τρίτη, ο Bob Diachenko δημοσίευσε μια ανάρτηση στο LinkedIn σχετικά με μια πρόσφατα εκτεθειμένη βάση δεδομένων που περιέχει τα προσωπικά δεδομένα περίπου 3,1 εκατομμυρίων ατόμων. Οι πληροφορίες που διέρρευσαν περιελάμβαναν ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου και φυσικές διευθύνσεις, αριθμούς τηλεφώνου, καθώς και τα ιδρύματα στα οποία τα πληγέντα άτομα λαμβάνουν ιατρική περίθαλψη. Ήταν σαφές ότι τα δεδομένα είχαν εκτεθεί από έναν οργανισμό που εργάζεται στον τομέα της υγειονομικής περίθαλψης και, μετά από μια γρήγορη έρευνα, ο Diachenko συνειδητοποίησε ότι η βάση δεδομένων ανήκε στην Adit, μια πλατφόρμα που βοηθά τους γιατρούς και τα νοσοκομεία να δημιουργήσουν την ηλεκτρονική τους παρουσία και να δημιουργήσουν ένα σύστημα που επιτρέπει στους ασθενείς να κλείνουν ραντεβού με μερικά κλικ.

Το να πούμε ότι ο Bob Diachenko δεν είναι ξένος σε αυτούς τους τύπους διαρροών θα ήταν υποτιμητικό. Έχει διαδραματίσει βασικό ρόλο στην ανακάλυψη και την εξασφάλιση δισεκατομμυρίων εγγραφών που είναι αποθηκευμένα σε βάσεις δεδομένων με χαμηλή διαμόρφωση. Μόλις ήξερε ότι τα δεδομένα ανήκαν στον Adit, δεν έχασε χρόνο να επικοινωνήσει με τον οργανισμό και να αποκαλύψει τη διαρροή.

Ο Adit δεν έκανε τίποτα για να ασφαλίσει τη βάση δεδομένων

Δεν είναι απολύτως σαφές πότε εκτέθηκε για πρώτη φορά το σύμπλεγμα Elasticsearch, αλλά πιθανότατα συνέβη τις ημέρες πριν από τις 12 Ιουλίου, γιατί τότε η μηχανή αναζήτησης του BinaryEdge το ευρετήριο. Μια μέρα αργότερα, ο Bob Diachenko το είχε ήδη ανακαλύψει και είχε επικοινωνήσει με τον Adit. Δυστυχώς, για τις επόμενες εννέα ημέρες, δεν έλαβε καμία απάντηση.

Αυτά είναι κακά νέα για όποιον έχει επηρεαστεί από τη διαρροή. Πρόσφατα πειράματα έχουν δείξει ότι οι διαρροές βάσεων δεδομένων δέχονται επίθεση πολλές φορές την ημέρα και ότι κάθε ειδοποίηση σχετικά με έναν διακομιστή με χαμηλή ασφάλεια πρέπει να αντιμετωπίζεται ως έκτακτη ανάγκη. Ο Adit δεν το έκανε αυτό, και μπορούμε να υποθέσουμε μόνο πόσους εγκληματίες στον κυβερνοχώρο είχαν πρόσβαση στα δεδομένα ενώ ήταν ακόμα online.

Σε ένα σημείο, ένα αυτοματοποιημένο σενάριο αποφάσισε να θέσει τέρμα στη διαρροή.

Το bot Meow κατέστρεψε τα δεδομένα του Adit

Στις 22 Ιουλίου, δέκα ημέρες μετά την ευρετηρίαση της βάσης δεδομένων από την BinaryEdge, ο Diachenko αποφάσισε να ρίξει μια ματιά και να δει αν ο Adit είχε τελικά επιτύχει να το εξασφαλίσει. Δεν είχε.

Το σύμπλεγμα Elasticsearch ήταν ακόμα online και προσβάσιμο από οπουδήποτε στον κόσμο. Όλες οι γραμμές μέσα σε αυτό, ωστόσο, αντικαταστάθηκαν από τυχαίες αλφαριθμητικές συμβολοσειρές με τη λέξη "meow" προσαρτημένη σε αυτές. Η βάση δεδομένων είχε στοχευτεί από το Meow bot.

Αν και εμφανίστηκε σχετικά πρόσφατα, το bot Meow έχει ήδη καταφέρει να καταστρέψει χιλιάδες βάσεις δεδομένων. Πρόκειται για ένα αυτοματοποιημένο σενάριο που αναζητά τις εγκαταστάσεις Elasticsearch και MongoDB που είναι συνδεδεμένες στο Διαδίκτυο, αλλά δεν προστατεύονται από κωδικό πρόσβασης και καταστρέφουν τα δεδομένα μέσα τους. Οι πληροφορίες απλού κειμένου αντικαθίστανται από τυχαίες συμβολοσειρές που τελειώνουν πάντα στο "meow", εξ ου και το όνομα.

Τα στοιχεία δείχνουν ότι το bot Meow δεν κλέβει τα δεδομένα πριν τα καταστρέψει και δεν αφήνει σημειώσεις λύτρων. Πιθανότατα, δημιουργήθηκε από έναν άγρυπνο χάκερ που θέλει να βοηθήσει τους οργανισμούς να προστατεύσουν τα δεδομένα τους, διδάσκοντάς τους ένα σκληρό μάθημα στον κυβερνοασφάλεια. Όποια και αν είναι η περίπτωση, το γεγονός είναι ότι στη συγκεκριμένη περίπτωση, τα δεδομένα των ασθενών δεν εκτέθηκαν πλέον μετά την επίθεση.

Ποιος επηρεάστηκε και τι πρέπει να προσέξει;

Οι γιατροί και οι οργανισμοί υγειονομικής περίθαλψης που χρησιμοποιούν το Adit ίσως να μην γνωρίζουν καν τη διαρροή, πράγμα που σημαίνει ότι δεν έχουν κανένα τρόπο να ενημερώσουν τους ασθενείς τους. Τα επηρεαζόμενα άτομα μπορεί να το γνωρίζουν εάν ο Adit αποφασίσει να συνεργαστεί, αλλά, δεδομένου του γεγονότος ότι δεν έχει ακόμη δημοσιοποιήσει το περιστατικό, αυτό δεν φαίνεται τρομερά πιθανό σε αυτό το σημείο.

Τα δεδομένα δεν είναι πλέον διαδικτυακά στη μορφή απλού κειμένου, αλλά παρέμειναν εκεί για αρκετό καιρό, και υπάρχει κάθε πιθανότητα να πέσει σε λάθος χέρια. Είναι δύσκολο να πούμε ποιο τμήμα των χρηστών του Adit επηρεάστηκε, οπότε αν έχετε αλληλεπιδράσει ποτέ με την πλατφόρμα, πρέπει να είστε πιο προσεκτικοί σχετικά με τις πιθανές απάτες.