Το LabCorp δεν μπορεί να πετύχει μια διακοπή καθώς αποκαλύπτεται μια νέα παραβίαση δεδομένων

LabCorp Data Breach

Η συμμετοχή ενός οργανισμού υγειονομικής περίθαλψης σε ένα περιστατικό στον κυβερνοχώρο δεν μπορεί ποτέ να είναι καλή είδηση. Αν πρέπει να αντιμετωπίσει δύο χωριστές επιθέσεις σε διάστημα μικρότερο των έντεκα μηνών, είναι ακόμη πιο ανησυχητικό και όταν οι πελάτες της πρέπει να υποστούν τις συνέπειες των τριών μη σχετικών παραβιάσεων ασφαλείας σε περίπου ενάμιση χρόνο, είναι ασφαλές να πούμε ότι τα προβλήματα είναι αρκετά σημαντικά. Δυστυχώς, αυτό ακριβώς συνέβη με το LabCorp, ένα από τα μεγαλύτερα εργαστηριακά δίκτυα στον κόσμο. Στα τέλη Ιανουαρίου, έγινε φανερό ότι οι πελάτες της τέθηκαν σε κίνδυνο για τρίτη φορά σε λίγο περισσότερο από 18 μήνες, και αυτή η παραβίαση φαίνεται να είναι πιο σοβαρή από τις δύο προηγούμενες. Πριν όμως φτάσουμε σε αυτό, ας υπενθυμίσουμε στους εαυτούς μας τα προηγούμενα δεινά της Cyber Security της LabCorp.

Το πρώτο περιστατικό έλαβε χώρα τον Ιούλιο του 2018. Τότε, η LabCorp διαπίστωσε ύποπτη δραστηριότητα στα συστήματά της, η οποία, αργότερα, αποδείχθηκε ότι προκλήθηκε από το ransomware SamSam. Η ομάδα πληροφορικής κατέστρεψε τους υπολογιστές και τους διακομιστές που επηρεάστηκαν και η απειλή περιορίστηκε σχετικά γρήγορα. Το LabCorp είχε προφανώς αντίγραφα ασφαλείας και η κατάσταση επιλύθηκε χωρίς να χαθούν ή να διαρρεύσουν ευαίσθητα δεδομένα.

Τα πράγματα ήταν κάπως διαφορετικά τον Ιούνιο του 2019, όταν η LabCorp παραδέχτηκε ότι μια παραβίαση δεδομένων είχε θέσει σε κίνδυνο τις προσωπικές και οικονομικές πληροφορίες περίπου 7,7 εκατομμυρίων ασθενών. Το πρόσωπο του εργαστηριακού δικτύου σώθηκε σε κάποιο βαθμό από το γεγονός ότι η επίθεση δεν αφορούσε το ίδιο το LabCorp. Αντίθετα, η παραβίαση των δεδομένων συνέβη στην Αμερικανική Υπηρεσία Ιατρικών Συλλογών (AMCA) - μια εταιρεία χρέωσης που συνεργάστηκε με αρκετούς οργανισμούς υγειονομικής περίθαλψης. Η επίθεση ήταν πράγματι τεράστια, και η επίπτωση ήταν τόσο τρομακτική που η AMCA σύντομα δεν είχε άλλη επιλογή, αλλά να καταθέσει για πτώχευση.

Η LabCorp δεν ήταν υπεύθυνη για το συγκεκριμένο περιστατικό. Ωστόσο, για την τελευταία παράβαση, η ευθύνη έγκειται αποκλειστικά στο εργαστηριακό δίκτυο.

Ένα σφάλμα ασφαλείας στην ιστοσελίδα του LabCorp θέτει σε κίνδυνο χιλιάδες έγγραφα

Τον περασμένο μήνα, ο Zach Whittaker της TechCrunch ανακάλυψε ένα ελάττωμα με το σύστημα εσωτερικής διαχείρισης σχέσεων πελατών (CRM) της LabCorp. Το ίδιο το σύστημα συνδεόταν με το διαδίκτυο, αλλά προστατεύεται από έναν κωδικό πρόσβασης. Ωστόσο, η Whittaker διαπίστωσε ότι ένα από τα πιο κρίσιμα μέρη του CRM, ο μηχανισμός που τραβά τα ιατρικά έγγραφα των ασθενών από το backend της LabCorp, ήταν προσβάσιμο χωρίς έλεγχο ταυτότητας.

Σύμφωνα με τα λόγια του Whittaker, "ο καθένας που ήξερε πού να κοιτάξει" θα μπορούσε να εντοπίσει τη διαρροή δεδομένων, και για τον τρόμο του, ο δημοσιογράφος ανακάλυψε έπειτα ένα έγγραφο που είχε ήδη ανιχνευθεί και αποθηκευτεί από την Google. Για να χειροτερέψει, ο Whittaker συνειδητοποίησε επίσης ότι με την αύξηση του ονόματος του εγγράφου (που ήταν ορατή στη γραμμή διευθύνσεών του) θα μπορούσε να αποκτήσει πρόσβαση σε άλλα αρχεία.

Ο δημοσιογράφος της TechCrunch χρησιμοποίησε ένα σενάριο υπολογιστή για να αυτοματοποιήσει τη διαδικασία και να κατανοήσει καλύτερα το εύρος της παραβίασης. Αντί της σάρωσης μέσω των περιεχομένων όλων των εγγράφων, το πρόγραμμά του θα ζητούσε απλώς στον διακομιστή την ύπαρξη αρχείων με διαφορετικά ονόματα. Αποδείχθηκε ότι η απάντηση ήταν θετική για όχι λιγότερα από 10 χιλιάδες έγγραφα.

Τα εκτεθειμένα έγγραφα διαρρέουν πολλές ευαίσθητες πληροφορίες

Η Whittaker ήθελε να καταλάβει πόσο σοβαρή ήταν η διαρροή πριν την αναφέρει στην LabCorp. Πήρε ένα μικρό δείγμα από τα εκτεθειμένα έγγραφα και τους άνοιξε για να δει τι είναι μέσα τους. Τα αρχεία περιείχαν ονόματα, ημερομηνίες γέννησης, εργαστηριακά αποτελέσματα και διαγνωστικές αναφορές. Σε ορισμένες περιπτώσεις, οι αριθμοί κοινωνικής ασφάλισης των ανθρώπων ήταν επίσης προσβάσιμοι στα έγγραφα.

Δεδομένης της φύσης των πληροφοριών που διαρρέουν, η LabCorp θα μπορούσε να αντιμετωπίσει ορισμένα βαριά πρόστιμα βάσει του νόμου για την ασφάλεια φορητότητας και λογοδοσίας (HIPAA), αλλά ίσως πιο ανησυχητικά, οι εκτεθειμένες λεπτομέρειες καθιστούν τα άτομα που επηρεάζονται πρωταρχικούς στόχους για την κλοπή ταυτότητας. Αυτός είναι ο λόγος για τον οποίο ο Whittaker δεν έχασε χρόνο ενημερώνοντας την LabCorp για το σφάλμα και ο διακομιστής σύντομα τραβήχτηκε εκτός σύνδεσης.

Η LabCorp διστάζει να μιλήσει για το περιστατικό

Ο Zack Whittaker δεν είχε εύκολο χρόνο επιβεβαιώνοντας ότι τα διαρροή δεδομένων ήταν γνήσια. Κάποια από τα θιγόμενα άτομα που προσπάθησε να επικοινωνήσουν είχαν πεθάνει, ενώ άλλοι δεν απάντησαν στις προσπάθειές του να έρθουν σε επαφή. Ένα άτομο δήλωσε ότι οι πληροφορίες στο φάκελο ήταν πραγματικές, αλλά πρέπει να ειπωθεί ότι ακόμη και χωρίς την επιβεβαίωσή τους, δεν υπάρχει αμφιβολία σε κανέναν ότι τα εκτεθειμένα έγγραφα περιέχουν έγκυρα δεδομένα. Εξάλλου, ο δημοσιογράφος της TechCrunch για την ασφάλεια του κυβερνοχώρου τους ανακάλυψε στο διακομιστή της LabCorp και η εργαστηριακή εταιρεία έκλεισε την ίδια τη διαρροή.

Παρόλα αυτά, η LabCorp αρνείται να εκδώσει επίσημη δήλωση σχετικά με το θέμα. Τα δύο προηγούμενα περιστατικά στον κυβερνοχώρο επισημάνθηκαν στο κοινό χάρη στις αιτήσεις της SEC, αλλά τώρα, η LabCorp δεν επιθυμεί να δώσει τίποτα περισσότερο από μια σύντομη απάντηση από έναν εκπρόσωπο. Η εταιρεία είπε στο TechCrunch ότι το σφάλμα έχει πλέον καταρρεύσει και υποσχέθηκε ότι θα ενημερώσει τους ασθενείς που έχουν προσβληθεί. Η LabCorp δεν μπορεί πραγματικά να αρνηθεί το γεγονός ότι τα διαρρεύσιμα έγγραφα φιλοξενούνται στους διακομιστές της, αλλά σύμφωνα με την TechCrunch, αρνείται να επιβεβαιώσει ότι τα αρχεία περιέχουν "πληροφορίες LabCorp".

Δεν είμαστε σίγουροι αν αυτό κάνει την εταιρεία με έδρα τη Βόρεια Καρολίνα οποιαδήποτε ευνοεί. Είναι η τρίτη φορά που η LabCorp έχει κάνει τις ειδήσεις για όλους τους λανθασμένους λόγους και σε αντίθεση με τα δύο πρώτα περιστατικά, αυτή τη φορά δεν φαίνεται να είναι ιδιαίτερα διαφανής. Ας ελπίσουμε ότι κάποιος θα συνειδητοποιήσει ότι αυτή δεν είναι μια πολύ καλή στρατηγική και σύντομα θα ακούσουμε περισσότερα για τη δυνητική έκθεση από το στόμα του αλόγου.

February 12, 2020

Αφήστε μια απάντηση