Kolejny dzień, kolejne naruszenie danych dotyczących opieki zdrowotnej: opuszczono sztolnię 3,1 miliona rekordów pacjentów

Adit Data Breach

Umieszczanie danych milionów ludzi w źle skonfigurowanej bazie danych jest błędem, który popełnia zbyt wiele organizacji. Jednak w przypadku stwierdzenia narażenia osoby winne muszą upewnić się, że problem został odpowiednio ujawniony i że zostały podjęte środki, aby zapobiec takim zdarzeniom w przyszłości. Niestety, jak mogą poświadczyć badacze tacy jak Bob Diachenko, czasami ci ludzie wolą zachowywać się tak, jakby nic się nie wydarzyło.

Bob Diachenko odkrył bazę danych, w której ujawniono dane osobowe 3,1 miliona pacjentów

We wtorek Bob Diachenko opublikował post na LinkedIn dotyczący niedawno ujawnionej bazy danych zawierającej dane osobowe około 3,1 miliona osób. Informacje, które wyciekły, obejmowały nazwiska, adresy e-mail i adresy, numery telefonów, a także instytucje, w których poszkodowani otrzymują pomoc medyczną. Było jasne, że dane zostały ujawnione przez organizację działającą w sektorze opieki zdrowotnej, a po szybkim dochodzeniu Diachenko zdał sobie sprawę, że baza danych należy do Sztolni, platformy, która pomaga lekarzom i szpitalom w budowaniu obecności w Internecie i tworzeniu systemu który pozwala pacjentom rezerwować wizyty za pomocą kilku kliknięć.

Stwierdzenie, że Bob Diachenko nie jest obcy tego typu przeciekom, to za mało. Odegrał kluczową rolę w wykrywaniu i zabezpieczaniu miliardów rekordów przechowywanych w źle skonfigurowanych bazach danych. Gdy wiedział, że dane należą do Sztolni, nie tracił czasu na skontaktowanie się z organizacją i ujawnienie wycieku.

Sztolnia nie zrobiła nic, aby zabezpieczyć bazę danych

Nie jest do końca jasne, kiedy klaster Elasticsearch został po raz pierwszy ujawniony, ale najprawdopodobniej wydarzyło się to w dniach poprzedzających 12 lipca, ponieważ wtedy wyszukiwarka BinaryEdge go zindeksowała. Dzień później Bob Diachenko już to odkrył i skontaktował się ze Sztolnią. Niestety przez następne dziewięć dni nie otrzymał żadnej odpowiedzi.

To zła wiadomość dla każdego, kto został dotknięty wyciekiem. Niedawne eksperymenty wykazały, że nieszczelne bazy danych są atakowane wiele razy dziennie, a każdy alert dotyczący słabo zabezpieczonego serwera należy traktować jako sytuację awaryjną. Adit tego nie zrobił i możemy tylko spekulować, ilu cyberprzestępców uzyskało dostęp do danych, gdy były one jeszcze online.

W pewnym momencie zautomatyzowany skrypt zdecydował się położyć kres wyciekowi.

Bot Meow zniszczył dane Sztolni

22 lipca, dziesięć dni po zindeksowaniu bazy danych przez BinaryEdge, Diachenko zdecydował się przyjrzeć i sprawdzić, czy Adit w końcu zabezpieczył ją. Nie było.

Klaster Elasticsearch był nadal online i dostępny z dowolnego miejsca na świecie. Jednak wszystkie wiersze w nim zostały zastąpione losowymi ciągami alfanumerycznymi z dołączonym słowem „miau”. Baza danych została zaatakowana przez bota Meow.

Chociaż pojawił się stosunkowo niedawno, bot Meow zdołał już zniszczyć tysiące baz danych. Jest to zautomatyzowany skrypt, który szuka instalacji Elasticsearch i MongoDB, które są połączone z Internetem, ale nie są chronione hasłem i uszkadzają zawarte w nich dane. Informacje w postaci zwykłego tekstu są zastępowane losowymi ciągami, które zawsze kończą się na „miau”, stąd nazwa.

Dowody sugerują, że bot Meow nie kradnie danych przed ich uszkodzeniem i nie pozostawia żadnych informacji o okupie. Najprawdopodobniej został stworzony przez mściciela hakera, który chce pomóc organizacjom zabezpieczyć ich dane, dając im twardą lekcję z cyberbezpieczeństwa. W każdym razie faktem jest, że w tym konkretnym przypadku dane pacjentów nie były już ujawniane po ataku.

Kogo to dotyczy i na co powinni zwracać uwagę?

Lekarze i organizacje opieki zdrowotnej korzystające ze Sztolni mogą nawet nie wiedzieć o wycieku, co oznacza, że nie mają możliwości poinformowania swoich pacjentów. Osoby dotknięte chorobą mogą zostać o tym poinformowane, jeśli Sztolnia zdecyduje się współpracować, ale biorąc pod uwagę fakt, że nie ujawniła jeszcze publicznie incydentu, nie wydaje się to na razie zbyt prawdopodobne.

Dane nie są już online w postaci zwykłego tekstu, ale pozostawały tam przez dłuższy czas i istnieje duże prawdopodobieństwo, że wpadły w niepowołane ręce. Trudno powiedzieć, jaka część użytkowników Adit została dotknięta, więc jeśli kiedykolwiek wchodziłeś w interakcję z platformą, musisz bardziej uważać na potencjalne oszustwa.

August 14, 2020
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.