Nog een dag, weer een datalek in de gezondheidszorg: Adit vertrok 3.1 miljoen patiëntrecords blootgelegd
Het is een fout die veel te veel organisaties maken om de gegevens van miljoenen mensen in een slecht geconfigureerde database te plaatsen. Wanneer de blootstelling wordt gevonden, moeten de schuldigen ervoor zorgen dat het probleem goed wordt bekendgemaakt en dat maatregelen worden genomen om dergelijke incidenten in de toekomst te voorkomen. Helaas, zoals onderzoekers als Bob Diachenko kunnen getuigen, geven deze mensen er soms de voorkeur aan te doen alsof er niets is gebeurd.
Table of Contents
Bob Diachenko ontdekte een database met de persoonlijke informatie van 3,1 miljoen patiënten
Dinsdag publiceerde Bob Diachenko een LinkedIn- bericht over een onlangs blootgelegde database met de persoonlijke gegevens van ongeveer 3,1 miljoen mensen. De gelekte informatie omvatte namen, e-mailadressen en fysieke adressen, telefoonnummers en de instellingen waar de getroffen personen medische behandeling krijgen. Het was duidelijk dat de gegevens waren blootgesteld door een organisatie die in de gezondheidszorg werkt, en na een snel onderzoek realiseerde Diachenko zich dat de database toebehoorde aan Adit, een platform dat artsen en ziekenhuizen helpt hun online aanwezigheid op te bouwen en een systeem te creëren waarmee patiënten met een paar klikken afspraken kunnen boeken.
Zeggen dat Bob Diachenko geen onbekende is in dit soort lekken, zou een understatement zijn. Hij heeft een sleutelrol gespeeld bij het ontdekken en beveiligen van miljarden records die zijn opgeslagen in slecht geconfigureerde databases. Toen hij eenmaal wist dat de gegevens van Adit waren, verspilde hij geen tijd om contact op te nemen met de organisatie en het lek bekend te maken.
Adit heeft niets gedaan om de database te beveiligen
Het is niet helemaal duidelijk wanneer het Elasticsearch-cluster voor het eerst werd blootgesteld, maar het gebeurde hoogstwaarschijnlijk in de dagen vóór 12 juli, want toen indexeerde de BinaryEdge-zoekmachine het. Een dag later had Bob Diachenko het al ontdekt en contact opgenomen met Adit. Helaas kreeg hij de komende negen dagen geen antwoord.
Dit is slecht nieuws voor iedereen die door het lek is getroffen. Recente experimenten hebben aangetoond dat lekkende databases meerdere keren per dag worden aangevallen en dat elke waarschuwing over een slecht beveiligde server moet worden behandeld als een noodgeval. Adit heeft dat niet gedaan, en we kunnen alleen maar speculeren hoeveel cybercriminelen toegang hebben gehad tot de gegevens terwijl deze nog online waren.
Op een gegeven moment besloot een geautomatiseerd script om een einde te maken aan het lek.
De Meow-bot vernietigde de gegevens van Adit
Op 22 juli, tien dagen nadat de database was geïndexeerd door BinaryEdge, besloot Diachenko een kijkje te nemen om te zien of Adit er eindelijk aan toe was gekomen om het te beveiligen. Het was niet zo.
Het Elasticsearch-cluster was nog steeds online en overal ter wereld toegankelijk. Alle regels erin werden echter vervangen door willekeurige alfanumerieke tekenreeksen met het woord "miauw" eraan toegevoegd. De database was het doelwit van de Meow-bot.
Hoewel het relatief recent verscheen, is de Meow-bot er al in geslaagd duizenden databases te vernietigen. Het is een geautomatiseerd script dat zoekt naar Elasticsearch- en MongoDB-installaties die zijn verbonden met internet maar niet zijn beveiligd met een wachtwoord en de gegevens erin beschadigen. De leesbare tekstinformatie wordt vervangen door willekeurige tekenreeksen die altijd eindigen op "meow", vandaar de naam.
Er zijn aanwijzingen dat de Meow-bot de gegevens niet steelt voordat deze wordt beschadigd, en hij laat geen losgeldbrief achter. Hoogstwaarschijnlijk is het gemaakt door een burgerwacht die organisaties wil helpen hun gegevens te beveiligen door hen een harde les in cyberbeveiliging te leren. Hoe het ook zij, feit is dat in dit specifieke geval de gegevens van de patiënten na de aanval niet langer werden blootgesteld.
Wie werd getroffen en waar moeten ze op letten?
De artsen en zorginstellingen die Adit gebruiken, weten misschien niet eens van het lek af, wat betekent dat ze hun patiënten niet kunnen informeren. Getroffen personen kunnen hiervan op de hoogte worden gebracht als Adit besluit mee te werken, maar gezien het feit dat het incident nog niet openbaar moet worden gemaakt, lijkt dit op dit moment niet erg waarschijnlijk.
De gegevens zijn niet langer in platte tekst online, maar ze bleven daar een tijdje staan, en er is een grote kans dat ze in verkeerde handen zijn gevallen. Het is moeilijk te zeggen welk deel van de Adit-gebruikers is getroffen, dus als u ooit interactie met het platform heeft gehad, moet u voorzichtiger zijn met mogelijke oplichting.
