O LabCorp não pode interromper uma nova revelação de uma violação de dados

O envolvimento de uma organização de saúde em um incidente de segurança cibernética nunca pode ser uma boa notícia. Se precisar lidar com dois ataques separados em menos de onze meses, é ainda mais preocupante e, quando seus clientes sofrerem as consequências de três violações de segurança não relacionadas em cerca de um ano e meio, é seguro dizer que os problemas são bastante significativos. Infelizmente, foi exatamente isso que aconteceu com a LabCorp, uma das maiores redes de laboratórios do mundo. No final de janeiro, ficou claro que seus clientes estavam em risco pela terceira vez em pouco mais de 18 meses, e essa violação parece ser mais grave do que as duas anteriores. Antes de chegarmos a isso, no entanto, vamos nos lembrar dos problemas passados de segurança cibernética da LabCorp.

O primeiro incidente ocorreu em julho de 2018. Naquela época, o LabCorp detectou atividades suspeitas em seus sistemas, que, mais tarde, foi causado pelo ransomware SamSam. A equipe de TI retirou os computadores e servidores afetados e a ameaça foi contida relativamente rapidamente. Aparentemente, o LabCorp tinha backups e a situação foi resolvida sem que nenhum dado sensível fosse perdido ou vazado.

As coisas estavam um pouco diferentes em junho de 2019, quando a LabCorp admitiu que uma violação de dados colocou em risco as informações pessoais e financeiras de cerca de 7,7 milhões de pacientes. O rosto da rede de laboratórios foi salvo em certa medida pelo fato de o ataque não ter como objetivo o próprio LabCorp. Em vez disso, a violação de dados aconteceu na American Medical Collection Agency (AMCA) - uma empresa de cobrança que trabalhava com várias organizações de assistência médica. O ataque foi realmente massivo e as consequências foram tão horríveis que a AMCA logo não teve outra escolha, a não ser pedir a falência.

O LabCorp não foi o culpado por esse incidente em particular. Para a violação mais recente, no entanto, a responsabilidade é exclusivamente da rede do laboratório.

Um bug de segurança no site da LabCorp coloca milhares de documentos em risco

No mês passado, Zach Whittaker da TechCrunch descobriu uma falha no sistema interno de CRM (Customer Relationship Management) da LabCorp. O próprio sistema estava conectado à Internet, mas estava protegido por uma senha. Whittaker descobriu, no entanto, que uma das partes mais cruciais do CRM, o mecanismo que extrai os documentos médicos dos pacientes do back-end da LabCorp, estava acessível sem autenticação.

Nas palavras de Whittaker, "qualquer pessoa que soubesse onde procurar" poderia localizar o vazamento de dados e, para seu horror, o repórter descobriu um documento que já havia sido rastreado e armazenado em cache pelo Google. Para piorar a situação, Whittaker também percebeu que, incrementando o nome do documento (que era visível em sua barra de endereços), ele poderia obter acesso a outros arquivos.

O repórter do TechCrunch usou um script de computador para automatizar o processo e entender melhor o escopo da violação. Em vez de varrer o conteúdo de todos os documentos, seu programa apenas consultaria o servidor quanto à existência de arquivos com nomes cada vez mais diferentes. Verificou-se que a resposta foi positiva para nada menos que 10 mil documentos.

Os documentos expostos vazaram muitas informações confidenciais

Whittaker queria entender a gravidade do vazamento antes de reportá-lo à LabCorp. Ele pegou uma pequena amostra dos documentos expostos e os abriu para ver o que havia neles. Os arquivos continham nomes, datas de nascimento, resultados de testes de laboratório e relatórios de diagnóstico. Em alguns casos, os números de seguridade social das pessoas também estavam acessíveis nos documentos.

Dada a natureza das informações vazadas, o LabCorp pode estar enfrentando multas pesadas sob a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), mas talvez o mais preocupante é que os detalhes expostos tornam os indivíduos afetados os principais alvos de roubo de identidade. Por esse motivo, Whittaker não perdeu tempo em informar o LabCorp sobre o bug e o servidor foi logo desconectado.

A LabCorp reluta em falar sobre o incidente

Zack Whittaker não teve muita facilidade em confirmar que os dados vazados eram genuínos. Alguns dos indivíduos afetados com quem ele tentou entrar em contato faleceram, enquanto outros não responderam às suas tentativas de entrar em contato. Uma pessoa disse que as informações no arquivo eram reais, mas deve-se dizer que, mesmo sem a confirmação, deve haver pouca dúvida de que os documentos expostos contêm dados válidos. Afinal, o repórter de segurança cibernética do TechCrunch os descobriu no servidor da LabCorp e a empresa de laboratório fechou o vazamento.

Apesar disso, a LabCorp se recusa a emitir uma declaração oficial sobre o assunto. Os dois incidentes anteriores de cibersegurança foram trazidos à atenção do público graças aos registros da SEC, mas agora, a LabCorp não está disposta a dar nada além de uma breve resposta de um porta-voz. A empresa disse ao TechCrunch que o bug foi esmagado e prometeu informar os pacientes afetados. O LabCorp não pode negar o fato de que os documentos vazados foram hospedados em seus servidores, mas, segundo o TechCrunch, ele se recusa a confirmar que os arquivos contêm "informações do LabCorp".

Não temos certeza se isso está favorecendo a empresa da Carolina do Norte. É a terceira vez que a LabCorp divulga as notícias por todos os motivos errados e, diferentemente dos dois primeiros incidentes, desta vez, não parece ser particularmente transparente. Felizmente, alguém perceberá que essa não é uma estratégia muito boa e, em breve, ouviremos mais sobre a exposição potencial diretamente da boca do cavalo.