Un altro giorno, un'altra violazione dei dati sanitari: Adit ha lasciato esposti 3,1 milioni di cartelle cliniche
Mettere i dati di milioni di persone in un database mal configurato è un errore commesso da troppe organizzazioni. Quando viene rilevata l'esposizione, tuttavia, le persone in colpa devono assicurarsi che il problema sia adeguatamente divulgato e che siano prese misure per prevenire tali incidenti in futuro. Purtroppo, come possono testimoniare ricercatori come Bob Diachenko, a volte queste persone preferiscono agire come se nulla fosse accaduto.
Table of Contents
Bob Diachenko ha scoperto un database che espone le informazioni personali di 3,1 milioni di pazienti
Martedì, Bob Diachenko ha pubblicato un post su LinkedIn riguardante un database esposto di recente contenente i dati personali di circa 3,1 milioni di persone. Le informazioni trapelate includevano nomi, e-mail e indirizzi fisici, numeri di telefono, nonché le istituzioni in cui le persone colpite ricevono cure mediche. Era chiaro che i dati erano stati esposti da un'organizzazione che opera nel settore sanitario e, dopo una rapida indagine, Diachenko si è accorta che il database apparteneva ad Adit, una piattaforma che aiuta medici e ospedali a costruire la loro presenza online e creare un sistema che consente ai pazienti di prenotare gli appuntamenti con pochi clic.
Dire che Bob Diachenko non è estraneo a questi tipi di perdite sarebbe un eufemismo. Ha svolto un ruolo chiave nella scoperta e nella protezione di miliardi di record archiviati in database mal configurati. Una volta che ha saputo che i dati appartenevano ad Adit, non ha perso tempo a contattare l'organizzazione e rivelare la fuga di notizie.
Adit non ha fatto nulla per proteggere il database
Non è del tutto chiaro quando il cluster Elasticsearch è stato esposto per la prima volta, ma molto probabilmente è accaduto nei giorni precedenti il 12 luglio perché è stato allora che il motore di ricerca BinaryEdge lo ha indicizzato. Il giorno dopo, Bob Diachenko l'aveva già scoperto e aveva contattato Adit. Sfortunatamente, per i successivi nove giorni, non ha ricevuto risposta.
Questa è una cattiva notizia per chiunque sia stato colpito dalla fuga di notizie. Recenti esperimenti hanno dimostrato che i database che perdono vengono attaccati più volte al giorno e che ogni singolo avviso su un server scarsamente protetto deve essere trattato come un'emergenza. Adit non l'ha fatto e possiamo solo ipotizzare quanti criminali informatici abbiano avuto accesso ai dati mentre erano ancora online.
A un certo punto, uno script automatizzato ha deciso di porre fine alla fuga di notizie.
Il bot Meow ha distrutto i dati di Adit
Il 22 luglio, dieci giorni dopo che il database è stato indicizzato da BinaryEdge, Diachenko ha deciso di dare un'occhiata e vedere se Adit era finalmente riuscito a proteggerlo. Non lo era.
Il cluster Elasticsearch era ancora online e accessibile da qualsiasi parte del mondo. Tutte le righe al suo interno, tuttavia, sono state sostituite da stringhe alfanumeriche casuali con la parola "miao" aggiunta ad esse. Il database era stato preso di mira dal bot Meow.
Sebbene sia apparso relativamente di recente, il bot Meow è già riuscito a distruggere migliaia di database. È uno script automatizzato che cerca le installazioni di Elasticsearch e MongoDB che sono connesse a Internet ma non sono protette da una password e corrompe i dati al loro interno. Le informazioni di testo in chiaro sono sostituite da stringhe casuali che finiscono sempre con "miao", da cui il nome.
Le prove suggeriscono che il bot Meow non ruba i dati prima di corromperli e non lascia alcuna richiesta di riscatto. Molto probabilmente, è stato creato da un hacker vigilante che vuole aiutare le organizzazioni a proteggere i propri dati insegnando loro una dura lezione di sicurezza informatica. In ogni caso, il nocciolo della questione è che in questo caso particolare, i dati dei pazienti non sono stati più esposti dopo l'attacco.
Chi è stato colpito e a cosa devono prestare attenzione?
I medici e le organizzazioni sanitarie che utilizzano Adit potrebbero non essere nemmeno a conoscenza della perdita, il che significa che non hanno modo di informare i loro pazienti. Le persone colpite potrebbero esserne informate se Adit decide di collaborare, ma, dato che non ha ancora divulgato pubblicamente l'incidente, ciò non sembra molto probabile a questo punto.
I dati non sono più online nella loro forma in chiaro, ma sono rimasti lì per un bel po 'e ci sono tutte le possibilità che siano caduti nelle mani sbagliate. È difficile dire quale parte degli utenti di Adit sia stata interessata, quindi se hai mai interagito con la piattaforma, devi stare più attento alle potenziali truffe.
