„LabCorp“ negali sulaikyti pertraukos, nes paaiškėjo naujas duomenų pažeidimas

Sveikatos priežiūros organizacijos dalyvavimas kibernetinio saugumo incidente niekada negali būti gera žinia. Jei jai tenka susidurti su dviem atskirais išpuoliais per trumpesnį nei vienuolikos mėnesių laikotarpį, tai kelia dar didesnį nerimą, o kai jo klientams tenka patirti trijų nesusijusių saugumo pažeidimų pasekmes maždaug per pusantrų metų, galima sakyti, kad problemos yra gana reikšmingos. Deja, būtent tai nutiko „LabCorp“ - vienam didžiausių pasaulyje laboratorijų tinklui. Sausio pabaigoje paaiškėjo, kad jos klientams trečią kartą iškilo pavojus per šiek tiek daugiau nei 18 mėnesių ir šis pažeidimas atrodo rimtesnis nei du ankstesni. Tačiau prieš pradėdami prieigą, prisiminkime apie „LabCorp“ praeities kibernetinio saugumo bėdas.

Pirmasis incidentas įvyko 2018 m. Liepą. Tuomet „LabCorp“ aptiko įtartiną veiklą savo sistemose, kurią vėliau paaiškėjo sukėlusi „SamSam“ išpirkos programa. IT komanda pašalino paveiktus kompiuterius ir serverius, o grėsmė buvo pašalinta gana greitai. Matyt, „LabCorp“ turėjo atsargines kopijas ir padėtis buvo išspręsta be jokių slaptų duomenų pasiklydus ar nutekėjus.

2019 m. Birželio mėn., Kai „LabCorp“ pripažino, kad dėl duomenų pažeidimo kilo pavojus asmeninei ir finansinei informacijai apie 7,7 mln. Pacientų, viskas buvo kiek kitaip. Laboratorijų tinklo veidą tam tikru mastu išgelbėjo tai, kad išpuolis nebuvo skirtas pačiam „LabCorp“. Duomenų pažeidimas įvyko Amerikos medicinos kolekcijos agentūroje (AMCA) - sąskaitų išrašymo bendrovėje, kuri dirbo su daugybe sveikatos priežiūros organizacijų. Išpuolis iš tiesų buvo didžiulis, o krituliai buvo tokie siaubingi, kad AMCA netrukus neturėjo kito pasirinkimo, tik iškelti bankroto bylą.

„LabCorp“ nebuvo kaltas dėl to konkretaus įvykio. Tačiau už paskutinį pažeidimą atsakomybė tenka tik laboratorijų tinklui.

Saugumo klaida „LabCorp“ svetainėje sukėlė pavojų tūkstančiams dokumentų

Praėjusį mėnesį „TechCrunch“ darbuotojas Zachas Whittakeris aptiko „LabCorp“ vidinės ryšių su klientais valdymo (CRM) sistemos trūkumą. Pati sistema buvo prijungta prie interneto, tačiau ji buvo apsaugota slaptažodžiu. Tačiau Whittakeris išsiaiškino, kad viena iš svarbiausių CRM dalių - mechanizmas, kuris ištraukia paciento medicininius dokumentus iš „LabCorp“ sistemos, buvo prieinamas be autentifikacijos.

Whittakerio žodžiais tariant, „bet kas, kas žinojo, kur ieškoti“ galėjo rasti duomenų nutekėjimą, ir, apimtas siaubo, žurnalistas tada atrado dokumentą, kurį „Google“ jau apžiūrėjo ir talpykloje. Kad būtų dar blogiau, Whittakeris taip pat suprato, kad padidindamas dokumento pavadinimą (kuris buvo matomas jo adresų juostoje), jis galėjo gauti prieigą prie kitų failų.

„TechCrunch“ reporteris naudojo kompiuterio scenarijų, kad automatizuotų procesą ir geriau suprastų pažeidimo mastą. Užuot ieškojusi visų dokumentų turinio, jo programa teiraujasi serverio, ar nėra failų su laipsniškai skirtingais pavadinimais. Paaiškėjo, kad atsakymas buvo teigiamas ne mažiau kaip 10 tūkst. Dokumentų.

Iš paviešintų dokumentų nutekėjo daug neskelbtinos informacijos

Prieš pranešdamas apie tai „LabCorp“, „Whittaker“ norėjo suprasti, koks rimtas nutekėjimas. Jis paėmė nedidelį paviešintų dokumentų pavyzdį ir atidarė juos, kad pamatytų, kas juose yra. Byloje buvo vardai, gimimo datos, laboratorinių tyrimų rezultatai ir diagnostinės ataskaitos. Kai kuriais atvejais žmonių socialinio draudimo numeriai taip pat buvo prieinami dokumentuose.

Atsižvelgiant į nutekėjusios informacijos pobūdį, „LabCorp“ gali būti nubaustas didelėmis baudomis pagal Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymą (HIPAA), tačiau galbūt dar labiau jaudina tai, kad dėl atskleistos informacijos paveikti asmenys tampa svarbiausiais asmens tapatybės vagystės tikslais. Štai kodėl „Whittaker“ negaišdavo laiko informuoti „LabCorp“ apie klaidą, ir serveris netrukus buvo išjungtas.

„LabCorp“ nelinkę kalbėti apie įvykį

Zackui Whittakeriui nebuvo sunku patvirtinti, kad nutekėję duomenys buvo tikri. Kai kurie nukentėję asmenys, su kuriais jis bandė susisiekti, mirė, kiti neatsakė į jo bandymus susisiekti. Vienas asmuo teigė, kad byloje esanti informacija buvo tikra, tačiau reikia pasakyti, kad net neturint jų patvirtinimo, niekam neturėtų kilti abejonių, kad paviešintuose dokumentuose yra teisingų duomenų. Galų gale, „TechCrunch“ kibernetinio saugumo žurnalistas juos aptiko „LabCorp“ serveryje, o laboratorijos įmonė pati uždarė nutekėjimą.

Nepaisant to, „LabCorp“ atsisako paskelbti oficialų pareiškimą šiuo klausimu. Ankstesni du kibernetinio saugumo incidentai buvo atkreipti į visuomenės dėmesį dėl SEC paraiškų pateikimo, tačiau dabar „LabCorp“ nenori duoti nieko daugiau, nei tik trumpą atstovo atstovo atsakymą. Bendrovė „TechCrunch“ teigė, kad klaida jau pašalinta, ir pažadėjo informuoti paveiktus pacientus. „LabCorp“ negali iš tikrųjų paneigti fakto, kad nutekėję dokumentai buvo talpinami jos serveriuose, tačiau, pasak „TechCrunch“, ji atsisako patvirtinti, kad failai turi „LabCorp“ informaciją.

Mes nesame tikri, ar tai daro naudą Šiaurės Karolinoje įsikūrusiai įmonei. Tai jau trečias kartas, kai „LabCorp“ paskelbė naujienas dėl visų neteisingų priežasčių, ir skirtingai nuo pirmųjų dviejų incidentų, šį kartą, atrodo, kad ji nėra ypač skaidri. Tikimės, kad kažkas supras, kad tai nėra labai gera strategija, ir pakankamai greitai apie galimą poveikį išgirsime daugiau iš arklio burnos.