Mais um dia, outra violação de dados de saúde: o Adit deixou 3,1 milhões de registros de pacientes expostos

Adit Data Breach

Colocar dados de milhões de pessoas em um banco de dados mal configurado é um erro cometido por muitas organizações. Quando a exposição for detectada, no entanto, os culpados devem garantir que o problema seja devidamente divulgado e que medidas sejam tomadas para prevenir tais incidentes no futuro. Infelizmente, como pesquisadores como Bob Diachenko podem testemunhar, às vezes essas pessoas preferem agir como se nada tivesse acontecido.

Bob Diachenko descobriu um banco de dados que expõe informações pessoais de 3,1 milhões de pacientes

Na terça-feira, Bob Diachenko publicou uma postagem no LinkedIn sobre um banco de dados exposto recentemente contendo dados pessoais de cerca de 3,1 milhões de pessoas. As informações vazadas incluíram nomes, e-mail e endereços físicos, números de telefone, bem como as instituições onde os indivíduos afetados recebem tratamento médico. Ficou claro que os dados foram expostos por uma organização que atua no setor de saúde e, após uma rápida investigação, Diachenko percebeu que o banco de dados pertencia à Adit, uma plataforma que ajuda médicos e hospitais a construir sua presença online e criar um sistema que permite aos pacientes marcar consultas com alguns cliques.

Dizer que Bob Diachenko conhece esse tipo de vazamento seria um eufemismo. Ele desempenhou um papel fundamental na descoberta e proteção de bilhões de registros armazenados em bancos de dados mal configurados. Assim que soube que os dados pertenciam à Adit, ele não perdeu tempo em contatar a organização e divulgar o vazamento.

Adit não fez nada para proteger o banco de dados

Não está completamente claro quando o cluster Elasticsearch foi exposto pela primeira vez, mas provavelmente aconteceu antes de 12 de julho, porque foi quando o mecanismo de pesquisa BinaryEdge o indexou. Um dia depois, Bob Diachenko já havia descoberto e contatado Adit. Infelizmente, nos nove dias seguintes, ele não recebeu resposta.

Esta é uma má notícia para qualquer pessoa afetada pelo vazamento. Experimentos recentes mostraram que bancos de dados com vazamentos são atacados várias vezes ao dia e que cada alerta sobre um servidor mal protegido deve ser tratado como uma emergência. Adit não fez isso e só podemos especular quantos cibercriminosos acessaram os dados enquanto eles ainda estavam online.

A certa altura, um script automatizado decidiu acabar com o vazamento.

O bot Meow destruiu os dados de Adit

Em 22 de julho, dez dias depois que o banco de dados foi indexado pelo BinaryEdge, Diachenko decidiu dar uma olhada e ver se Adit finalmente conseguiu protegê-lo. Não tinha.

O cluster Elasticsearch ainda estava online e acessível de qualquer lugar do mundo. Todas as linhas dentro dele, no entanto, foram substituídas por strings alfanuméricas aleatórias com a palavra "miau" anexada a elas. O banco de dados foi direcionado pelo bot Meow.

Embora tenha aparecido há relativamente pouco tempo, o bot Meow já conseguiu destruir milhares de bancos de dados. É um script automatizado que procura por instalações de Elasticsearch e MongoDB que estão conectadas à Internet, mas não estão protegidas por senha e corrompe os dados dentro delas. As informações de texto simples são substituídas por strings aleatórias que sempre terminam em "meow", daí o nome.

As evidências sugerem que o bot Meow não rouba os dados antes de corrompê-los e não deixa notas de resgate. Provavelmente, ele foi criado por um hacker vigilante que deseja ajudar as organizações a proteger seus dados, ensinando-lhes uma dura lição sobre segurança cibernética. Seja qual for o caso, o fato é que, neste caso específico, os dados dos pacientes não foram mais expostos após o ataque.

Quem foi afetado e o que eles precisam cuidar?

Os médicos e organizações de saúde que usam o Adit podem nem saber sobre o vazamento, o que significa que não têm como informar seus pacientes. Os indivíduos afetados podem ficar cientes disso se a Adit decidir cooperar, mas, dado o fato de que ainda não divulgou publicamente o incidente, isso não parece muito provável neste momento.

Os dados não estão mais online na forma de texto simples, mas permaneceram lá por um bom tempo e há todas as chances de cair nas mãos erradas. É difícil dizer que parte dos usuários da Adit foi afetada, então, se você já interagiu com a plataforma, precisa ser mais cuidadoso com possíveis golpes.

August 14, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.