LabCorp kan geen pauze nemen als een nieuwe datalek wordt onthuld
De betrokkenheid van een zorgorganisatie bij een cybersecurity-incident kan nooit goed nieuws zijn. Als het te maken heeft met twee afzonderlijke aanvallen in minder dan elf maanden, is het nog zorgwekkender en wanneer zijn klanten de gevolgen van drie niet-gerelateerde beveiligingsinbreuken in ongeveer anderhalf jaar moeten ondervinden, is het veilig om te zeggen dat de problemen zijn behoorlijk groot. Helaas is dit precies wat er is gebeurd met LabCorp, een van 's werelds grootste laboratoriumnetwerken. Eind januari werd duidelijk dat haar klanten voor de derde keer in iets meer dan 18 maanden in gevaar kwamen en deze inbreuk lijkt ernstiger te zijn dan de vorige twee. Voordat we eraan beginnen, moeten we ons echter herinneren aan de ellende in het verleden van LabCorp.
Het eerste incident vond plaats in juli 2018. Destijds ontdekte LabCorp verdachte activiteit op zijn systemen, die later werd veroorzaakt door de SamSam-ransomware. Het IT-team haalde getroffen computers en servers neer en de dreiging werd relatief snel beperkt. LabCorp had blijkbaar back-ups en de situatie werd opgelost zonder dat gevoelige gegevens verloren gingen of lekten.
Het was een beetje anders in juni 2019 toen LabCorp toegaf dat een datalek de persoonlijke en financiële informatie van ongeveer 7,7 miljoen patiënten in gevaar had gebracht. Het gezicht van het laboratoriumnetwerk werd enigszins gered door het feit dat de aanval niet op LabCorp zelf was gericht. In plaats daarvan vond de datalek plaats bij American Medical Collection Agency (AMCA) - een factureringsbedrijf dat samenwerkte met een flink aantal organisaties in de gezondheidszorg. De aanval was inderdaad enorm en de gevolgen waren zo gruwelijk dat AMCA al snel geen andere keus had dan faillissement aan te vragen.
LabCorp was niet verantwoordelijk voor dat specifieke incident. Voor de laatste inbreuk ligt de verantwoordelijkheid echter uitsluitend bij het laboratoriumnetwerk.
Table of Contents
Een beveiligingsprobleem op de website van LabCorp bracht duizenden documenten in gevaar
Vorige maand ontdekte TechCrunch's Zach Whittaker een fout in LabCorp's interne Customer Relationship Management (CRM) -systeem. Het systeem zelf was verbonden met internet, maar het was beveiligd met een wachtwoord. Whittaker ontdekte echter dat een van de meest cruciale onderdelen van CRM, het mechanisme dat medische documenten van patiënten uit de back-end van LabCorp haalt, zonder authenticatie toegankelijk was.
In de woorden van Whittaker, "iedereen die wist waar hij moest zoeken" kon het datalek vinden en tot zijn afgrijzen ontdekte de verslaggever vervolgens een document dat al door Google was gecrawld en in de cache was opgeslagen. Tot overmaat van ramp besefte Whittaker ook dat hij door de naam van het document te verhogen (die zichtbaar was in zijn adresbalk) toegang kon krijgen tot andere bestanden.
De verslaggever van TechCrunch gebruikte een computerscript om het proces te automatiseren en een beter inzicht te krijgen in de omvang van de inbreuk. In plaats van de inhoud van alle documenten te doorzoeken, zou zijn programma de server gewoon vragen om bestanden met oplopende verschillende namen. Het bleek dat de respons positief was voor maar liefst 10 duizend documenten.
De blootgestelde documenten lekten veel gevoelige informatie
Whittaker wilde weten hoe ernstig het lek was voordat hij het aan LabCorp rapporteerde. Hij nam een klein voorbeeld van de blootgestelde documenten en opende ze om te zien wat erin zat. De bestanden bevatten namen, geboortedata, laboratoriumtestresultaten en diagnostische rapporten. In sommige gevallen waren de burgerservicenummers ook toegankelijk in de documenten.
Gezien de aard van de gelekte informatie, kan LabCorp worden geconfronteerd met een aantal zware boetes op grond van de Health Insurance Portability and Accountability Act (HIPAA), maar misschien nog zorgwekkender, de blootgestelde details maken getroffen individuen belangrijke doelen voor identiteitsdiefstal. Dit is de reden waarom Whittaker geen tijd verspilde met het informeren van LabCorp over de bug en de server werd snel offline gehaald.
LabCorp aarzelt om over het incident te praten
Zack Whittaker had geen gemakkelijke tijd om te bevestigen dat de gelekte gegevens echt waren. Sommige van de getroffen personen met wie hij contact probeerde op te nemen, waren overleden, terwijl anderen niet reageerden op zijn pogingen om contact te krijgen. Eén persoon zei wel dat de informatie in het bestand echt was, maar het moet gezegd worden dat zelfs zonder hun bevestiging er in iemands twijfel weinig twijfel over zou bestaan dat de blootgestelde documenten geldige gegevens bevatten. De cybersecurity-verslaggever van TechCrunch ontdekte ze immers op de server van LabCorp en het laboratoriumbedrijf sloot het lek zelf.
Desondanks weigert LabCorp hierover een officiële verklaring af te leggen. De vorige twee cybersecurity-incidenten werden onder de aandacht van het publiek gebracht dankzij SEC-archieven, maar nu is LabCorp niet bereid om iets meer te geven dan een kort antwoord van een woordvoerder. Het bedrijf vertelde TechCrunch dat de bug nu is geplet en beloofde de getroffen patiënten te informeren. LabCorp kan niet echt ontkennen dat de gelekte documenten op zijn servers werden gehost, maar volgens TechCrunch weigert het te bevestigen dat de bestanden "LabCorp-informatie" bevatten.
We weten niet zeker of dit het in North Carolina gevestigde bedrijf ten goede komt. Het is de derde keer dat LabCorp om de verkeerde redenen het nieuws haalt, en in tegenstelling tot de eerste twee incidenten, lijkt het er deze keer niet bijzonder transparant over te zijn. Hopelijk zal iemand zich realiseren dat dit geen erg goede strategie is, en snel genoeg horen we meer over de mogelijke blootstelling rechtstreeks uit de mond van het paard.
