LabCorp kan ikke ta en pause da et nytt datainnbrudd blir avslørt

En helseorganisasjons engasjement i en cybersecurity-hendelse kan aldri være gode nyheter. Hvis det har å gjøre med to separate angrep i løpet av mindre enn elleve måneder, er det enda mer bekymringsfullt, og når kundene må lide konsekvensene av tre ikke-relaterte sikkerhetsbrudd på omtrent halvannet år, er det trygt å si at problemene er ganske betydningsfulle. Dessverre er det akkurat det som har skjedd med LabCorp, et av verdens største laboratorienettverk. I slutten av januar ble det klart at kundene ble satt i fare for tredje gang på litt over 18 måneder, og dette bruddet ser ut til å være mer alvorlig enn de to foregående. Før vi kommer til det, la oss imidlertid minne oss om LabCorps tidligere cybersecurity-problemer.

Den første hendelsen fant sted i juli 2018. Da oppdaget LabCorp mistenkelig aktivitet på systemene sine, som det senere viste seg å være forårsaket av SamSam ransomware. IT-teamet trakk ned berørte datamaskiner og servere, og trusselen ble relativt raskt inneholdt. LabCorp hadde tilsynelatende sikkerhetskopier, og situasjonen ble løst uten at sensitive data gikk tapt eller lekket.

Ting var litt annerledes i juni 2019 da LabCorp innrømmet at et datainnbrudd hadde satt den personlige og økonomiske informasjonen til rundt 7,7 millioner pasienter i fare. Laboratorienettverkets ansikt ble i noen grad reddet av at angrepet ikke var rettet mot LabCorp selv. I stedet skjedde datainnbruddet hos American Medical Collection Agency (AMCA) - et faktureringsfirma som jobbet med ganske mange helseorganisasjoner. Angrepet var riktignok massivt, og nedfallet var så grufullt at AMCA snart ikke hadde noe annet valg, men å inngi konkurs.

LabCorp hadde ikke skylden for den aktuelle hendelsen. For det siste bruddet ligger imidlertid ansvaret utelukkende på laboratorienettverket.

En sikkerhetsfeil på LabCorps nettsted satt tusenvis av dokumenter i fare

Forrige måned oppdaget TechCrunchs Zach Whittaker en feil med LabCorps interne Customer Relationship Management (CRM) -system. Selve systemet var koblet til internett, men det var beskyttet med et passord. Whittaker fant imidlertid ut at en av CRMs mest avgjørende deler, mekanismen som henter pasientenes medisinske dokumenter fra LabCorps backend, var tilgjengelig uten autentisering.

I Whittakers ord kunne "alle som visste hvor de skulle lete" lokalisere datalekkasjen, og til sin skrekk oppdaget reporteren et dokument som allerede var blitt gjennomsøkt og lagt inn på hurtigbuffer av Google. For å gjøre vondt verre, innså Whittaker også at han ved å øke navnet på dokumentet (som var synlig i adressefeltet) kunne få tilgang til andre filer.

TechCrunchs reporter brukte et dataskript for å automatisere prosessen og få en bedre forståelse av omfanget av bruddet. I stedet for å skanne gjennom innholdet i alle dokumenter, ville programmet bare spørre serveren om eksistensen av filer med trinnvis forskjellige navn. Det viste seg at svaret var positivt for ikke mindre enn 10 tusen dokumenter.

De utsatte dokumentene lekket mye sensitiv informasjon

Whittaker ønsket å forstå hvor alvorlig lekkasjen var før han rapporterte den til LabCorp. Han tok en liten prøve av de utsatte dokumentene og åpnet dem for å se hva som er i dem. Filene inneholdt navn, fødselsdato, laboratorietestresultater og diagnoserapporter. I noen tilfeller var folks personnummer også tilgjengelig i dokumentene.

På grunn av arten av den lekke informasjonen, kan LabCorp stå overfor noen tunge bøter i henhold til Health Insurance Portability and Accountability Act (HIPAA), men kanskje mer bekymringsfullt, de utsatte detaljene gjør berørte individer til primære mål for identitetstyveri. Dette er grunnen til at Whittaker ikke kastet bort tiden på å informere LabCorp om feilen, og serveren ble snart trukket frakoblet.

LabCorp kvier seg for å snakke om hendelsen

Zack Whittaker hadde ikke en lett tid på å bekrefte at de lekkede dataene var ekte. Noen av de berørte personene han prøvde å kontakte, hadde gått bort, mens andre ikke responderte på forsøkene hans på å komme i kontakt. Én person sa at informasjonen i filen var reell, men det må sies at selv uten deres bekreftelse, burde det være liten tvil i noens sinn om at de utsatte dokumentene inneholder gyldige data. Tross alt, TechCrunchs cybersecurity reporter oppdaget dem på LabCorps server, og laboratorieselskapet stengte selve lekkasjen.

Til tross for dette nekter LabCorp å avgi en offisiell uttalelse om saken. De to foregående cybersecurity-hendelsene ble gjort oppmerksom på offentligheten takket være SEC-innleveringer, men nå er LabCorp ikke villig til å gi noe mer enn et kort svar fra en talsperson. Selskapet fortalte TechCrunch at feilen nå er blitt klemt, og den lovet å informere berørte pasienter. LabCorp kan ikke egentlig benekte det faktum at de lekkede dokumentene ble vert på serverne, men ifølge TechCrunch nekter den å bekrefte at filene inneholder "LabCorp-informasjon."

Vi er ikke sikre på om dette gjør det North Carolina-baserte selskapet noen tjenester. Det er tredje gang LabCorp har laget nyhetene av alle gale grunner, og i motsetning til de to første hendelsene, ser det ut til at denne gangen ikke er spesielt gjennomsiktig med det. Forhåpentligvis vil noen innse at dette ikke er en veldig god strategi, og snart får vi høre mer om den potensielle eksponeringen rett fra hestens munn.