A LabCorp nem tudja megszerezni a szünetet, amikor egy új adatsértés feltárt

LabCorp Data Breach

Az egészségügyi szervezet részvétele a kiberbiztonsági eseményben soha nem lehet jó hír. Ha két különálló támadással kell szembenéznie kevesebb, mint tizenegy hónapon belül, akkor ez még aggasztóbb, és amikor ügyfeleinek körülbelül másfél év alatt három egymással nem összefüggő biztonsági szabálysértés következményeit kell szenvednie, akkor nyugodtan mondhatjuk, hogy a problémák meglehetősen jelentősek. Sajnos pontosan ez történt a LabCorp-tal, a világ egyik legnagyobb laboratóriumi hálózatával. Január végén nyilvánvalóvá vált, hogy ügyfeleit alig több mint 18 hónap alatt harmadik alkalommal veszélyeztették, és ez a jogsértés súlyosabbnak tűnik, mint az előző kettő. Mielőtt eljutnánk rá, emlékeztessük magunkat a LabCorp korábbi kiberbiztonsági problémáira.

Az első eseményre 2018 júliusában került sor. A LabCorp akkoriban gyanús tevékenységeket fedezett fel rendszerein, amelyeket később kiderült, a SamSam ransomware okozott. Az informatikai csapat levonta az érintett számítógépeket és szervereket, és a fenyegetést viszonylag gyorsan sikerült kezelni. A LabCorpnak látszólag volt biztonsági másolata, és a helyzetet úgy oldották meg, hogy érzékeny adatok elvesztek vagy kiszivárogtak.

A helyzet kissé más volt 2019 júniusában, amikor a LabCorp elismerte, hogy egy adat megsértése mintegy 7,7 millió beteg személyes és pénzügyi adatait veszélyeztette. A laboratóriumi hálózat arcát bizonyos mértékben megmentette az a tény, hogy a támadás nem magát a LabCorpot célozta meg. Ehelyett az adatok megsértése az American Medical Collection Agency-nél (AMCA) történt - egy számlázó cégnél, amely nagyon sok egészségügyi szervezettel működött együtt. A támadás valóban hatalmas volt, és a csapadék annyira szörnyű volt, hogy az AMCA-nak hamarosan nem volt más választása, csak hogy csődöt tegyen.

A LabCorp nem volt felelős az adott eseményért. A legutóbbi megsértésért azonban kizárólag a laboratóriumi hálózat felel.

A LabCorp webhelyén található biztonsági hiba több ezer dokumentumot tett veszélybe

A múlt hónapban a TechCrunch Zach Whittaker hibát fedezett fel a LabCorp belső ügyfélkapcsolat-kezelési (CRM) rendszerében. Maga a rendszer csatlakozott az internethez, de egy jelszóval védett volt. Whittaker azonban rájött, hogy a CRM egyik legfontosabb része, az a mechanizmus, amely a betegek orvosi dokumentumait a LabCorp hátteréből húzza, hitelesítés nélkül elérhető volt.

Whittaker szavaival: "bárki, aki tudta, hol kell" megkeresheti az adatok szivárgását, és rémületére a riporter egy olyan dokumentumot fedezett fel, amelyet a Google már átjárott és tárolt a Google-ban. A helyzet még rosszabbá tétele érdekében Whittaker ráébredt arra is, hogy a dokumentum nevének növelésével (amely a címsorában látható volt) hozzáférhet más fájlokhoz.

A TechCrunch riportere számítógépes szkriptet használt a folyamat automatizálásához és a jogsértés terjedelmének jobb megértéséhez. Ahelyett, hogy az összes dokumentum tartalmát átvizsgálná, a programja csak a kiszolgálóra kéri a fokozatosan eltérő nevekkel rendelkező fájlok létezését. Kiderült, hogy a válasz nem kevesebb, mint 10 ezer dokumentum esetében volt pozitív.

A feltárt dokumentumok sok érzékeny információt szivárogtak fel

Whittaker meg akarta tudni, mennyire súlyos a szivárgás, mielőtt bejelentette a LabCorp-nak. Kis mintát vett a kitett dokumentumokból, és kinyitotta őket, hogy megnézze, mi van azokban. A fájlok neveket, születési időket, laboratóriumi teszteredményeket és diagnosztikai jelentéseket tartalmaztak. Egyes esetekben az emberek társadalombiztosítási számai is elérhetők voltak a dokumentumokban.

Tekintettel a kiszivárogtatott információ jellegére, a LabCorp súlyos bírságokkal sújthat az Egészségbiztosítási Hordozhatóságról és elszámoltathatóságról szóló törvény (HIPAA) alapján, de valószínűleg még aggasztóbb, hogy a nyilvánosságra hozott adatok az érintett személyeket az identitáslopások fő célpontjává teszik. Ez az oka annak, hogy Whittaker nem pazarolta az időt, hogy tájékoztassa a LabCorp-ot a hibáról, és a szervert hamarosan elérhetővé tették.

A LabCorp vonakodik beszélni az eseményről

Zack Whittakernek nem volt könnyű ideje megerősíteni, hogy a kiszivárogtatott adatok valósak. Az érintett személyek egy része elhunyt, míg mások nem reagáltak a kapcsolatfelvételi kísérletre. Az egyik ember azt állította, hogy az aktában szereplő információk valódiak, de azt kell mondani, hogy megerősítésük nélkül semmi kétség nem lehet senkinek a gondolatában, hogy a feltárt dokumentumok érvényes adatokat tartalmaznak. Végül is, a TechCrunch kiberbiztonsági riportere felfedezte őket a LabCorp szerverén, és a laboratóriumi cég maga bezárta a szivárgást.

Ennek ellenére a LabCorp megtagadja hivatalos nyilatkozat kiadását az ügyben. Az előző két kiberbiztonsági eseményt a SEC bejelentéseknek köszönhetően hívták a nyilvánosság figyelmébe, de most a LabCorp nem akarja, hogy csak a szóvivő rövid válaszát adja meg. A társaság azt mondta a TechCrunch-nak, hogy a hibát már megszüntették, és megígérte, hogy tájékoztatja az érintett betegeket. A LabCorp nem igazán tagadhatja azt a tényt, hogy a kiszivárogtatott dokumentumokat a szerverein tárolták, de a TechCrunch szerint megtagadja annak megerősítését, hogy a fájlok "LabCorp információkat" tartalmaznak.

Nem vagyunk benne biztosak benne, hogy ez az észak-karolinai székhelyű társaságnak kedvez-e. Ez a harmadik alkalom, amikor a LabCorp téves okokból tette közzé a hírt, és az első két eseménytől eltérően ezúttal nem tűnik különösebben átláthatónak. Remélhetőleg valaki rájön, hogy ez nem túl jó stratégia, és elég hamarosan többet meghallunk a lehetséges expozícióról közvetlenül a ló szájából.

February 12, 2020

Válaszolj