Nok en dag, nok et brudd på helsevesenet: Adit Left 3,1 millioner pasienter ble avslørt
Å legge millioner av menneskers data i en dårlig konfigurert database er en feil som altfor mange organisasjoner gjør. Når eksponeringen er funnet, må imidlertid de skyldige personene sørge for at problemet blir korrekt avslørt og at det blir iverksatt tiltak for å forhindre slike hendelser i fremtiden. Dessverre, som forskere som Bob Diachenko kan vitne, noen ganger foretrekker disse menneskene å oppføre seg som om ingenting har skjedd.
Table of Contents
Bob Diachenko oppdaget en database som avslørte personopplysningene til 3,1 millioner pasienter
Tirsdag publiserte Bob Diachenko et LinkedIn- innlegg om en nylig eksponert database som inneholder personopplysningene til rundt 3,1 millioner mennesker. Informasjon som ble lekket inn inkluderte navn, e-post og fysiske adresser, telefonnumre, samt institusjonene der de berørte personer fikk medisinsk behandling. Det var tydelig at dataene var blitt eksponert av en organisasjon som jobber i helsesektoren, og etter en rask etterforskning innså Diachenko at databasen tilhørte Adit, en plattform som hjelper leger og sykehus med å bygge deres online tilstedeværelse og lage et system som lar pasienter bestille avtaler med noen få klikk.
Å si at Bob Diachenko ikke er fremmed for denne type lekkasjer ville være en underdrivelse. Han har spilt en nøkkelrolle i å oppdage og sikre milliarder av poster lagret i dårlig konfigurerte databaser. Når han visste at dataene tilhørte Adit, kastet han ikke tid på å kontakte organisasjonen og avsløre lekkasjen.
Adit gjorde ingenting for å sikre databasen
Det er ikke helt klart når Elasticsearch-klyngen først ble utsatt, men det skjedde mest sannsynlig i dagene før 12. juli, fordi det var da BinaryEdge-søkemotoren indekserte den. Et døgn senere hadde Bob Diachenko allerede oppdaget det og hadde kontaktet Adit. De neste ni dagene fikk han dessverre ikke noe svar.
Dette er dårlige nyheter for alle som har blitt berørt av lekkasjen. Nyere eksperimenter har vist at utette databaser blir angrepet flere ganger om dagen, og at hvert eneste varsel om en dårlig sikret server må behandles som en nødsituasjon. Adit gjorde ikke det, og vi kan bare spekulere i hvor mange nettkriminelle som hadde tilgang til dataene mens de fortsatt var online.
På et tidspunkt bestemte et automatisert skript seg for å få slutt på lekkasjen.
Meow-botten ødela Adits data
22. juli, ti dager etter at databasen ble indeksert av BinaryEdge, bestemte Diachenko å ta en titt og se om Adit endelig hadde kommet seg rundt å sikre den. Det hadde det ikke.
Elasticsearch-klyngen var fremdeles online og tilgjengelig fra hvor som helst i verden. Alle linjene inni den ble imidlertid erstattet av tilfeldige alfanumeriske strenger med ordet "meow" lagt ved dem. Databasen hadde blitt målrettet av Meow-botten.
Selv om den dukket opp relativt nylig, har Meow-bot allerede klart å ødelegge tusenvis av databaser. Det er et automatisert skript som ser etter Elasticsearch og MongoDB-installasjoner som er koblet til internett, men som ikke er beskyttet av et passord og ødelegger dataene i dem. Kletttekstinformasjonen erstattes av tilfeldige strenger som alltid ender på "meow", derav navnet.
Bevis tyder på at Meow-bot ikke stjeler dataene før de ødelegger dem, og at det ikke etterlater noen løsepenger. Mest sannsynlig ble det opprettet av en årvåken hacker som ønsker å hjelpe organisasjoner med å sikre dataene sine ved å lære dem en vanskelig leksjon i cybersecurity. Uansett, faktum er at i akkurat dette tilfellet ble pasientenes data ikke lenger eksponert etter angrepet.
Hvem ble berørt, og hva trenger de å passe på?
Legene og helseorganisasjonene som bruker Adit vil kanskje ikke engang vite om lekkasjen, noe som betyr at de ikke har noen måte å informere pasientene sine på. Berørte personer kan bli gjort oppmerksom på det hvis Adit bestemmer seg for å samarbeide, men gitt det faktum at det ennå ikke har offentliggjort hendelsen, virker dette ikke veldig sannsynlig på dette tidspunktet.
Dataene er ikke lenger online i klartekstform, men de ble liggende der en god stund, og det er stor sjanse for at de falt i gale hender. Det er vanskelig å si hvilken del av Adits brukere som ble rammet, så hvis du noen gang har samhandlet med plattformen, må du være mer forsiktig med potensielle svindel.
