LabCorp non è in grado di intercettare perché viene rivelata una nuova violazione dei dati

Il coinvolgimento di un'organizzazione sanitaria in un incidente di sicurezza informatica non può mai essere una buona notizia. Se ha a che fare con due attacchi separati nell'arco di meno di undici mesi, è ancora più preoccupante e quando i suoi clienti devono subire le conseguenze di tre violazioni della sicurezza non correlate in circa un anno e mezzo, è sicuro di dire che i problemi sono abbastanza significativi. Sfortunatamente, questo è esattamente quello che è successo a LabCorp, una delle più grandi reti di laboratorio al mondo. Alla fine di gennaio, è diventato evidente che i suoi clienti sono stati messi a rischio per la terza volta in poco più di 18 mesi e questa violazione sembra essere più grave delle due precedenti. Prima di arrivare a questo, tuttavia, ricordiamoci dei problemi di cybersecurity passati di LabCorp.

Il primo incidente si è verificato a luglio 2018. All'epoca, LabCorp ha rilevato attività sospette sui suoi sistemi, che, in seguito, è stata causata dal ransomware SamSam. Il team IT ha abbattuto computer e server interessati e la minaccia è stata contenuta relativamente rapidamente. Apparentemente LabCorp aveva dei backup e la situazione è stata risolta senza perdita o perdita di dati sensibili.

Le cose erano un po 'diverse a giugno 2019 quando LabCorp ha ammesso che una violazione dei dati aveva messo a rischio le informazioni personali e finanziarie di circa 7,7 milioni di pazienti. Il volto della rete del laboratorio è stato in parte salvato dal fatto che l'attacco non era diretto contro LabCorp stesso. Invece, la violazione dei dati è avvenuta presso l'American Medical Collection Agency (AMCA), una società di fatturazione che stava lavorando con alcune organizzazioni sanitarie. L'attacco è stato davvero massiccio e la ricaduta è stata così orribile che l'AMCA non ha avuto altra scelta se non quella di dichiarare fallimento.

LabCorp non era da biasimare per quel particolare incidente. Per l'ultima violazione, tuttavia, la responsabilità spetta esclusivamente alla rete del laboratorio.

Un bug di sicurezza nel sito Web di LabCorp ha messo a rischio migliaia di documenti

Il mese scorso, Zach Whittaker di TechCrunch ha scoperto un difetto con il sistema CRM (Customer Relationship Management) interno di LabCorp. Il sistema stesso era collegato a Internet, ma era protetto da una password. Whittaker ha scoperto, tuttavia, che una delle parti più cruciali del CRM, il meccanismo che estrae i documenti medici dei pazienti dal backend di LabCorp, era accessibile senza autenticazione.

Nelle parole di Whittaker, "chiunque sapesse dove cercare" poteva individuare la perdita di dati e, con suo orrore, il giornalista ha scoperto un documento che era già stato sottoposto a scansione e memorizzato nella cache di Google. A peggiorare le cose, Whittaker ha anche capito che aumentando il nome del documento (che era visibile nella sua barra degli indirizzi) poteva ottenere l'accesso ad altri file.

Il reporter di TechCrunch ha utilizzato uno script per computer per automatizzare il processo e comprendere meglio l'ambito della violazione. Invece di scansionare il contenuto di tutti i documenti, il suo programma avrebbe semplicemente interrogato il server per l'esistenza di file con nomi progressivamente diversi. Si è scoperto che la risposta è stata positiva per non meno di 10 mila documenti.

I documenti esposti hanno trapelato molte informazioni riservate

Whittaker voleva capire quanto fosse grave la perdita prima di segnalarla a LabCorp. Prese un piccolo campione dei documenti esposti e li aprì per vedere cosa conteneva. I file contenevano nomi, date di nascita, risultati dei test di laboratorio e rapporti diagnostici. In alcuni casi, i numeri di previdenza sociale delle persone erano accessibili anche nei documenti.

Data la natura delle informazioni trapelate, LabCorp potrebbe essere soggetto ad alcune pesanti multe ai sensi della Health Insurance Portability and Accountability Act (HIPAA), ma forse più preoccupantemente, i dettagli esposti rendono gli individui colpiti obiettivi primari per il furto di identità. Questo è il motivo per cui Whittaker non ha perso tempo a informare LabCorp del bug e il server è stato presto disconnesso.

LabCorp è riluttante a parlare dell'incidente

Zack Whittaker non è stato facile a confermare che i dati trapelati fossero autentici. Alcune delle persone colpite che ha cercato di contattare erano morte mentre altre non hanno risposto ai suoi tentativi di mettersi in contatto. Una persona ha detto che le informazioni nel file erano reali, ma bisogna dire che anche senza la loro conferma, nella mente di qualcuno dovrebbero esserci pochi dubbi sul fatto che i documenti esposti contengano dati validi. Dopotutto, il reporter di cybersecurity di TechCrunch li ha scoperti sul server di LabCorp e la società di laboratorio ha chiuso la perdita stessa.

Nonostante ciò, LabCorp rifiuta di rilasciare una dichiarazione ufficiale in materia. I precedenti due incidenti di sicurezza informatica sono stati portati all'attenzione del pubblico grazie alla documentazione della SEC, ma ora LabCorp non è disposto a dare qualcosa di più di una breve risposta di un portavoce. La società ha dichiarato a TechCrunch che il bug è stato ora eliminato e ha promesso di informare i pazienti colpiti. LabCorp non può davvero negare il fatto che i documenti trapelati fossero ospitati sui suoi server, ma secondo TechCrunch, si sta rifiutando di confermare che i file contengano "informazioni LabCorp".

Non siamo sicuri che questo favorisca la società con sede nella Carolina del Nord. È la terza volta che LabCorp fa notizia per tutte le ragioni sbagliate e, a differenza dei primi due incidenti, questa volta non sembra essere particolarmente trasparente al riguardo. Speriamo che qualcuno si renda conto che questa non è una strategia molto buona, e abbastanza presto, sentiremo di più sulla potenziale esposizione direttamente dalla bocca del cavallo.