LabCorp ne peut pas prendre une pause car une nouvelle violation de données est révélée

LabCorp Data Breach

L'implication d'un établissement de santé dans un incident de cybersécurité ne peut jamais être une bonne nouvelle. S'il doit faire face à deux attaques distinctes en moins de onze mois, c'est encore plus inquiétant, et lorsque ses clients doivent subir les conséquences de trois violations de sécurité indépendantes en environ un an et demi, il est sûr de dire que les problèmes sont assez importants. Malheureusement, c'est exactement ce qui est arrivé à LabCorp, l'un des plus grands réseaux de laboratoires au monde. Fin janvier, il est apparu que ses clients étaient mis en danger pour la troisième fois en un peu plus de 18 mois, et cette rupture semble plus grave que les deux précédentes. Avant d'y arriver, cependant, rappelons-nous les malheurs passés de LabCorp en matière de cybersécurité.

Le premier incident a eu lieu en juillet 2018. À l'époque, LabCorp a détecté une activité suspecte sur ses systèmes, qui s'est avérée plus tard être causée par le rançongiciel SamSam. L'équipe informatique a supprimé les ordinateurs et serveurs affectés, et la menace a été contenue relativement rapidement. LabCorp avait apparemment des sauvegardes et la situation a été résolue sans qu'aucune donnée sensible ne soit perdue ou divulguée.

Les choses étaient un peu différentes en juin 2019 lorsque LabCorp a admis qu'une violation de données avait mis en danger les informations personnelles et financières d'environ 7,7 millions de patients. Le visage du réseau de laboratoires a été sauvé dans une certaine mesure par le fait que l'attaque ne visait pas LabCorp lui-même. Au lieu de cela, la violation de données s'est produite à l'American Medical Collection Agency (AMCA) - une société de facturation qui travaillait avec un certain nombre d'organisations de soins de santé. L'attaque a en effet été massive et les retombées ont été si horribles que l'AMCA n'a bientôt pas eu d'autre choix que de déposer le bilan.

LabCorp n'était pas à blâmer pour cet incident particulier. Pour la dernière violation, cependant, la responsabilité incombe uniquement au réseau de laboratoires.

Un bogue de sécurité sur le site Web de LabCorp a mis en danger des milliers de documents

Le mois dernier, Zach Whittaker de TechCrunch a découvert une faille dans le système de gestion de la relation client (CRM) interne de LabCorp. Le système lui-même était connecté à Internet, mais il était protégé par un mot de passe. Whittaker a cependant découvert que l'une des parties les plus cruciales du CRM, le mécanisme qui extrait les documents médicaux des patients du backend de LabCorp, était accessible sans authentification.

Selon les mots de Whittaker, "quiconque savait où chercher" pouvait localiser la fuite de données, et à son horreur, le journaliste a ensuite découvert un document qui avait déjà été exploré et mis en cache par Google. Pour aggraver les choses, Whittaker a également réalisé qu'en augmentant le nom du document (qui était visible dans sa barre d'adresse), il pouvait accéder à d'autres fichiers.

Le journaliste de TechCrunch a utilisé un script informatique pour automatiser le processus et mieux comprendre l'étendue de la violation. Au lieu de parcourir le contenu de tous les documents, son programme demandait simplement au serveur l'existence de fichiers avec des noms incrémentiels différents. Il s'est avéré que la réponse a été positive pour pas moins de 10 000 documents.

Les documents exposés ont fait couler beaucoup d'informations sensibles

Whittaker voulait comprendre la gravité de la fuite avant de la signaler à LabCorp. Il a pris un petit échantillon des documents exposés et les a ouverts pour voir ce qu'ils contiennent. Les fichiers contenaient des noms, des dates de naissance, des résultats de tests de laboratoire et des rapports de diagnostic. Dans certains cas, les numéros de sécurité sociale des personnes étaient également accessibles dans les documents.

Compte tenu de la nature des informations divulguées, LabCorp pourrait encourir de lourdes amendes en vertu de la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), mais peut-être plus inquiétant, les détails exposés font des personnes concernées des cibles privilégiées pour le vol d'identité. C'est pourquoi, Whittaker n'a pas perdu de temps à informer LabCorp du bug, et le serveur a rapidement été mis hors ligne.

LabCorp hésite à parler de l'incident

Zack Whittaker n'a pas eu de facilité à confirmer que les données divulguées étaient authentiques. Certaines des personnes touchées qu'il a essayé de contacter étaient décédées tandis que d'autres n'avaient pas répondu à ses tentatives pour entrer en contact. Une personne a dit que les informations contenues dans le dossier étaient réelles, mais il faut dire que même sans leur confirmation, il ne devrait y avoir aucun doute dans l'esprit de quiconque que les documents exposés contiennent des données valides. Après tout, le journaliste de cybersécurité de TechCrunch les a découverts sur le serveur de LabCorp, et la société de laboratoire a fermé la fuite elle-même.

Malgré cela, LabCorp refuse de publier une déclaration officielle à ce sujet. Les deux précédents incidents de cybersécurité ont été portés à l'attention du public grâce aux documents déposés auprès de la SEC, mais maintenant, LabCorp ne veut rien donner de plus qu'une brève réponse d'un porte-parole. La société a déclaré à TechCrunch que le bogue avait maintenant été éliminé et a promis d'informer les patients concernés. LabCorp ne peut pas vraiment nier le fait que les documents divulgués ont été hébergés sur ses serveurs, mais selon TechCrunch, il refuse de confirmer que les fichiers contiennent des "informations LabCorp".

Nous ne savons pas si cela rend service à l'entreprise basée en Caroline du Nord. C'est la troisième fois que LabCorp fait la une pour toutes les mauvaises raisons, et contrairement aux deux premiers incidents, cette fois, il ne semble pas être particulièrement transparent à ce sujet. J'espère que quelqu'un se rendra compte que ce n'est pas une très bonne stratégie, et bientôt, nous en saurons plus sur l'exposition potentielle directement de la bouche du cheval.

February 12, 2020

Laisser une Réponse