Wyniki testu Covid mieszkańców Wyoming ujawnione w Internecie
Po błędzie pracownika Departament Zdrowia Wyoming opublikował wyniki testu Covid-19 prawie 165 tysięcy obywateli stanu na przestrzeni dyskowej dostępnej dla każdego, kto ma aktywne połączenie z Internetem.
WHD wydało oficjalne oświadczenie o czkawce w zakresie bezpieczeństwa pod koniec kwietnia. Wydaje się, że pracownik WHD przesłał wyniki testu Covid dotyczące około jednej czwartej populacji stanu na wiadro, które było całkowicie niezabezpieczone.
Jak to bywa w przypadku wielu wycieków danych, informacje pozostawały ujawnione przez długi czas po incydencie. Dane zostały udostępnione online prawie sześć miesięcy temu, a problem z bezpieczeństwem wykryto dopiero w połowie marca.
Nieszczelna baza danych zawierała nie tylko wyniki testów Covid. Wśród niezabezpieczonych plików znalazły się również wyniki analizatorów alkoholu w wydychanym powietrzu ponad 18 tys. Osób. Dokumentacja zawierała również nazwiska lub numery identyfikacyjne pacjentów, daty urodzenia i adresy domowe.
Wyniki testu Covid obejmowały okres od początku 2020 r. Do marca 2021 r. Wyniki analizatora oddechu w nieszczelnej bazie danych zostały zebrane między 2012 a 2021 r. - znaczącym przedziałem czasowym.
Niestety, podobne zdarzenia nie są rzadkie. Historia Threatpost przypomniała czytelnikom, że w grudniu 2020 roku oszałamiające 45 milionów obrazów medycznych zostało narażonych na wszystkich złych aktorów, którzy byli nimi zainteresowani, ze względu na słabo zabezpieczony serwer.
Mimo że Departament Zdrowia Wyoming zapewnił opinię publiczną, że wyciek nie zawierał danych finansowych, bankowych, dotyczących ubezpieczenia społecznego lub ubezpieczenia zdrowotnego, nie oznacza to, że sprawa jest mniej znacząca. Źli aktorzy mogą wykorzystywać poufne i umożliwiające identyfikację osoby informacje uzyskane w podobnych wyciekach do szeregu nielegalnych celów, od oszustw po szantaż.
Fakt, że cały ten incydent stał się rzeczywistością w wyniku stosunkowo prostego błędu ludzkiego, ujawnia potrzebę edukacji wszystkich pracowników i budowania bardzo silnej świadomości znaczenia cyberbezpieczeństwa na wszystkich poziomach organizacji, nie tylko wewnątrz dział IT.
WDH dokłada wszelkich starań, aby uporządkować cyfrowy bałagan, a wszystkie niezabezpieczone pliki zostały już usunięte z ujawnionego repozytorium GitHub, a personel jest ponownie szkolony w zakresie bezpieczeństwa cyfrowego. Niestety nie ma gwarancji, że za kilka tygodni inna niepowiązana organizacja nie doświadczy podobnej czkawki.