Kita diena, dar vienas sveikatos priežiūros duomenų pažeidimas: palikta 3,1 milijono pacientų įrašų
Įrašyti milijonų žmonių duomenis į blogai sukonfigūruotą duomenų bazę yra klaida, kurią daro per daug organizacijų. Tačiau aptikę sąlytį, kalti žmonės privalo užtikrinti, kad problema būtų tinkamai atskleista ir kad būtų imtasi priemonių tokiems įvykiams ateityje užkirsti kelią. Deja, kaip gali paliudyti tyrėjai, pavyzdžiui, Bobas Diachenko, kartais šie žmonės nori elgtis taip, lyg nieko neįvyktų.
Table of Contents
Bobas Diachenko atrado duomenų bazę, kurioje atskleidžiama 3,1 mln. Pacientų asmeninė informacija
Antradienį Bobas Diachenko paskelbė „ LinkedIn“ įrašą apie neseniai paviešintą duomenų bazę, kurioje yra apie 3,1 milijono žmonių asmens duomenų. Į nutekėjusią informaciją buvo įtraukti vardai, el. Pašto adresai ir fiziniai adresai, telefonų numeriai, taip pat įstaigos, kuriose nukentėję asmenys gydosi. Buvo aišku, kad duomenis paviešino sveikatos priežiūros sektoriuje dirbanti organizacija, ir atlikus greitą tyrimą Diachenko suprato, kad duomenų bazė priklauso „Adit“ - platformai, kuri padeda gydytojams ir ligoninėms kurti savo buvimo vietą internete ir sukurti sistemą tai leidžia pacientams rezervuoti susitikimus keliais paspaudimais.
Sakyti, kad Bobui Diachenko nėra svetimi šios rūšies nutekėjimai, būtų per maža reikšmė. Jis atliko pagrindinį vaidmenį aptikdamas ir apsaugodamas milijardus įrašų, saugomų blogai sukonfigūruotose duomenų bazėse. Sužinojęs, kad duomenys priklauso „Adit“, jis negailėjo laiko susisiekti su organizacija ir atskleisti nutekėjimą.
„Adit“ nieko nepadarė, kad apsaugotų duomenų bazę
Nelabai aišku, kada pirmą kartą buvo parodytas „Elasticsearch“ klasteris, tačiau greičiausiai tai įvyko dienomis prieš liepos 12 d., Nes būtent tada „BinaryEdge“ paieškos variklis jį indeksavo. Po dienos Bobas Diachenko tai jau atrado ir susisiekė su „Adit“. Deja, kitas devynias dienas jis negavo jokio atsakymo.
Tai yra bloga žinia tiems, kuriuos paveikė nutekėjimas. Naujausi eksperimentai parodė, kad nesandarios duomenų bazės užpuolamos kelis kartus per dieną ir kad kiekvienas įspėjimas apie blogai apsaugotą serverį turi būti traktuojamas kaip ekstremali situacija. Adit to nepadarė, ir mes galime tik spėlioti, kiek kibernetinių nusikaltėlių pasiekė duomenis, kol jis vis dar buvo prisijungęs.
Vienu metu automatizuotas scenarijus nusprendė panaikinti nutekėjimą.
„Meow“ botas sunaikino „Adit“ duomenis
Liepos 22 d., Praėjus dešimčiai dienų po to, kai duomenų bazė buvo indeksuota „BinaryEdge“, Diachenko nusprendė pasižvalgyti ir išsiaiškinti, ar „Adit“ pagaliau susitvarkė, kad ją apsaugotų. To nebuvo.
„Elasticsearch“ klasteris vis dar buvo internete ir prieinamas iš bet kurio pasaulio krašto. Tačiau visos jo viduje esančios eilutės buvo pakeistos atsitiktinėmis raidėmis ir skaitmenimis, prie kurių buvo pridėtas žodis „miau“. Į duomenų bazę buvo nukreiptas „ Meow bot“.
Nors „Meow“ robotas pasirodė palyginti neseniai, jis jau sugebėjo sunaikinti tūkstančius duomenų bazių. Tai automatizuotas scenarijus, ieškantis „Elasticsearch“ ir „MongoDB“ įrenginių, kurie yra prijungti prie interneto, bet nėra apsaugoti slaptažodžiu ir sugadina jų viduje esančius duomenis. Paprasto teksto informaciją pakeičia atsitiktinės eilutės, kurios visada baigiasi „miau“, taigi ir pavadinimas.
Įrodymai rodo, kad „Meow“ robotas ne pavogia duomenų prieš tai sugadindamas ir nepalieka jokių išpirkos užrašų. Greičiausiai jį sukūrė budrus įsilaužėlis, norintis padėti organizacijoms apsaugoti savo duomenis išmokant joms sunkią kibernetinio saugumo pamoką. Bet kokiu atveju faktas yra tas, kad šiuo konkrečiu atveju pacientų duomenys po išpuolio nebebuvo paviešinti.
Kas buvo paveiktas ir ko jiems reikia atkreipti dėmesį?
Gydytojai ir sveikatos priežiūros organizacijos, kurios naudojasi „Adit“, gali net nežinoti apie nutekėjimą, o tai reiškia, kad jie neturi galimybės informuoti savo pacientų. Paveikti asmenys gali būti informuoti apie tai, jei „Adit“ nuspręs bendradarbiauti, tačiau, atsižvelgiant į tai, kad dar turi viešai atskleisti įvykį, šiuo metu tai neatrodo labai tikėtina.
Duomenys paprasto teksto formate nebeteikiami internete, tačiau jie ten gana ilgai išliko, ir yra visi šansai, kad jie pateko į netinkamas rankas. Sunku pasakyti, kuriai „Adit“ vartotojų daliai tai buvo padaryta, todėl, jei kada nors bendravote su platforma, turite būti atidūs galimų sukčiavimų klausimui.
