LabCorp nie może złapać przerwy, gdy ujawniono nowe naruszenie danych
Udział organizacji opieki zdrowotnej w incydencie z cyberbezpieczeństwem nigdy nie może być dobrą wiadomością. Jeśli musi poradzić sobie z dwoma oddzielnymi atakami w okresie krótszym niż jedenaście miesięcy, jest to jeszcze bardziej niepokojące, a kiedy klienci muszą ponieść konsekwencje trzech niepowiązanych naruszeń bezpieczeństwa w ciągu około półtora roku, można śmiało powiedzieć, że problemy są dość znaczące. Niestety, dokładnie to stało się z LabCorp, jedną z największych sieci laboratoryjnych na świecie. Pod koniec stycznia stało się jasne, że jego klienci zostali narażeni na ryzyko po raz trzeci w nieco ponad 18 miesiącach, a naruszenie to wydaje się poważniejsze niż poprzednie dwa. Zanim jednak do tego przejdziemy, przypomnijmy sobie o nieszczęściach cyberbezpieczeństwa LabCorp z przeszłości.
Pierwszy incydent miał miejsce w lipcu 2018 r. Wówczas LabCorp wykrył podejrzaną aktywność na swoich systemach, która, jak się później okazało, była spowodowana oprogramowaniem ransomware SamSam. Zespół IT usunął zagrożone komputery i serwery, a zagrożenie zostało opanowane stosunkowo szybko. LabCorp najwyraźniej miał kopie zapasowe, a sytuacja została rozwiązana bez utraty lub wycieku poufnych danych.
W czerwcu 2019 r. Sytuacja wyglądała nieco inaczej, gdy LabCorp przyznał, że naruszenie danych naraziło dane osobowe i finansowe około 7,7 miliona pacjentów. Twarz sieci laboratoryjnej została w pewnym stopniu uratowana przez fakt, że atak nie był wymierzony w samego LabCorp. Zamiast tego naruszenie danych miało miejsce w American Medical Collection Agency (AMCA) - firmie rozliczeniowej, która współpracowała z wieloma organizacjami opieki zdrowotnej. Atak był rzeczywiście masywny, a opad był tak przerażający, że AMCA wkrótce nie miała innego wyjścia, jak tylko zgłosić bankructwo.
LabCorp nie był winny tego konkretnego incydentu. Jednak w przypadku ostatniego naruszenia odpowiedzialność spoczywa wyłącznie na sieci laboratoryjnej.
Table of Contents
Błąd bezpieczeństwa na stronie LabCorp zagraża tysiącom dokumentów
W zeszłym miesiącu Zach Whittaker z TechCruncha odkrył lukę w wewnętrznym systemie zarządzania relacjami z klientami (CRM) LabCorp. Sam system był podłączony do Internetu, ale był chroniony hasłem. Whittaker odkrył jednak, że jedna z najważniejszych części CRM, mechanizm wyciągający dokumenty medyczne pacjentów z zaplecza LabCorp, był dostępny bez uwierzytelnienia.
Według słów Whittakera „każdy, kto wiedział, gdzie szukać”, może zlokalizować wyciek danych i ku jego przerażeniu reporter odkrył dokument, który został już przeszukany i zapisany w pamięci podręcznej przez Google. Co gorsza, Whittaker zdał sobie również sprawę, że zwiększając nazwę dokumentu (widocznego na pasku adresu) może uzyskać dostęp do innych plików.
Reporter TechCruncha wykorzystał skrypt komputerowy do zautomatyzowania procesu i lepszego zrozumienia zakresu naruszenia. Zamiast skanować zawartość wszystkich dokumentów, jego program po prostu zapytał serwer o istnienie plików o stopniowo różnych nazwach. Okazało się, że odpowiedź była pozytywna na nie mniej niż 10 tysięcy dokumentów.
Ujawnione dokumenty wyciekły wiele poufnych informacji
Whittaker chciał zrozumieć, jak poważny był wyciek, zanim zgłosił to LabCorp. Wziął małą próbkę odsłoniętych dokumentów i otworzył je, aby zobaczyć, co w nich jest. Pliki zawierały imiona, daty urodzenia, wyniki badań laboratoryjnych i raporty diagnostyczne. W niektórych przypadkach numery dokumentów ubezpieczenia społecznego były również dostępne w dokumentach.
Biorąc pod uwagę naturę wyciekających informacji, LabCorp może zostać ukarany wysokimi karami zgodnie z ustawą o przenośności i rozliczalności ubezpieczeń zdrowotnych (HIPAA), ale być może bardziej niepokojące jest to, że ujawnione dane sprawiają, że dotknięte osoby są głównymi celami kradzieży tożsamości. Właśnie dlatego Whittaker nie tracił czasu na informowanie LabCorp o błędzie, a serwer wkrótce został wyłączony.
LabCorp niechętnie mówi o tym incydencie
Zack Whittaker nie miał czasu łatwo potwierdzić, że wyciekły dane były prawdziwe. Niektóre osoby dotknięte chorobą, z którymi próbował się skontaktować, zmarły, podczas gdy inne nie reagowały na jego próby nawiązania kontaktu. Jedna osoba powiedziała, że informacje zawarte w pliku są prawdziwe, ale trzeba powiedzieć, że nawet bez ich potwierdzenia nikomu nie powinno być wątpliwości, że ujawnione dokumenty zawierają prawidłowe dane. W końcu reporter ds. Cyberbezpieczeństwa TechCruncha odkrył je na serwerze LabCorp, a firma laboratoryjna sama zamknęła wyciek.
Mimo to LabCorp odmawia wydania oficjalnego oświadczenia w tej sprawie. Poprzednie dwa incydenty związane z cyberbezpieczeństwem zostały zauważone dzięki dokumentom SEC, ale teraz LabCorp nie chce udzielać niczego więcej niż krótkiej odpowiedzi od rzecznika. Firma poinformowała TechCrunch, że błąd został zgnieciony, i obiecała poinformować pacjentów, których to dotyczy. LabCorp nie może tak naprawdę zaprzeczyć, że wyciekające dokumenty były przechowywane na jego serwerach, ale według TechCrunch odmawia potwierdzenia, że pliki zawierają „informacje LabCorp”.
Nie jesteśmy pewni, czy robi to korzyść firmie z Północnej Karoliny. To już trzeci raz, gdy LabCorp opublikował wiadomości z niewłaściwych powodów, i w przeciwieństwie do dwóch pierwszych incydentów, tym razem nie wydaje się to szczególnie przejrzyste. Mamy nadzieję, że ktoś zda sobie sprawę, że nie jest to zbyt dobra strategia, a wkrótce usłyszymy więcej o potencjalnym narażeniu prosto z pyska konia.
