LabCorp kan inte ta en paus när ett nytt dataöverträdelse avslöjas

LabCorp Data Breach

En sjukvårdsorganisations engagemang i en cybersäkerhetshändelse kan aldrig vara goda nyheter. Om den måste hantera två separata attacker inom mindre än elva månader är det ännu mer oroande, och när dess kunder måste drabbas av konsekvenserna av tre oberoende säkerhetsöverträdelser på ungefär ett och ett halvt år är det säkert att säga att problemen är ganska betydande. Tyvärr är det exakt vad som har hänt med LabCorp, ett av världens största laboratorienätverk. I slutet av januari blev det uppenbart att dess kunder riskerades för tredje gången på drygt 18 månader, och detta överträdelse verkar vara mer allvarligt än de två föregående. Innan vi kommer till det, låt oss emellertid påminna oss om LabCorps tidigare cybersäkerhetsproblem.

Den första händelsen ägde rum i juli 2018. Då upptäckte LabCorp misstänkt aktivitet på sina system, vilket, senare visade sig, orsakades av SamSam ransomware. IT-teamet drog ner berörda datorer och servrar, och hotet innehöll relativt snabbt. LabCorp hade uppenbarligen säkerhetskopieringar, och situationen löstes utan att någon känslig information förlorades eller läckte ut.

Sakerna var lite annorlunda i juni 2019 då LabCorp medgav att ett dataöverträdelse hade utsatt den personliga och ekonomiska informationen till cirka 7,7 miljoner patienter. Laboratorienätverkets ansikte räddades till viss del av det faktum att attacken inte riktade sig mot LabCorp själv. Istället inträffade dataöverträdelsen på American Medical Collection Agency (AMCA) - ett fakturaföretag som arbetade med en hel del sjukvårdsorganisationer. Attacken var verkligen massiv, och nedfallet var så hemskt att AMCA snart inte hade något annat val, men att ansöka om konkurs.

LabCorp var inte skylden för den speciella incidenten. För det senaste överträdelsen ligger ansvaret dock enbart på laboratorienätverket.

Ett säkerhetsfel på LabCorps webbplats riskerar tusentals dokument

Förra månaden upptäckte TechCrunchs Zach Whittaker en brist med LabCorps interna CRM-system (Customer Relationship Management). Själva systemet var anslutet till internet, men det var skyddat med ett lösenord. Whittaker fick dock reda på att en av CRM: s viktigaste delar, mekanismen som drar patientens medicinska dokument från LabCorps backend, var tillgänglig utan verifiering.

Enligt Whittakers ord, "vem som helst som visste vart de skulle leta" kunde hitta dataläckan, och till sin förskräckelse upptäckte reportern sedan ett dokument som redan hade krypats över och cachats av Google. För att göra saken värre, insåg Whittaker också att genom att öka namnet på dokumentet (som var synligt i hans adressfält) kunde han få tillgång till andra filer.

TechCrunchs reporter använde ett datorskript för att automatisera processen och få en bättre förståelse av omfattningen av överträdelsen. Istället för att skanna igenom innehållet i alla dokument, skulle hans program bara fråga servern för att det finns filer med stegvis olika namn. Det visade sig att svaret var positivt för inte mindre än 10 tusen dokument.

De exponerade dokumenten läckte mycket känslig information

Whittaker ville förstå hur allvarlig läckan var innan han rapporterade den till LabCorp. Han tog ett litet prov av de exponerade dokumenten och öppnade dem för att se vad som finns i dem. Filerna innehöll namn, födelsedatum, laboratorietestresultat och diagnostiska rapporter. I vissa fall var människors personnummer också tillgängliga i dokumenten.

Med tanke på karaktären av den läckta informationen kan LabCorp stå inför några tunga böter enligt Health Insurance Portability and Accountability Act (HIPAA), men kanske mer oroande, de utsatta detaljerna gör berörda individer till främsta mål för identitetsstöld. Därför slösade Whittaker ingen tid med att informera LabCorp om felet och servern drogs snart offline.

LabCorp är motvilliga att prata om incidenten

Zack Whittaker hade inte en lätt tid att bekräfta att de läckta uppgifterna var äkta. Några av de drabbade individerna som han försökte kontakta hade gått bort medan andra inte svarade på hans försök att få kontakt. En person sa att informationen i filen var verklig, men det måste sägas att även utan deras bekräftelse borde det finnas lite tvivel i någons sinne att de exponerade dokumenten innehåller giltiga data. När allt kommer omkring upptäckte TechCrunchs cybersecurity reporter dem på LabCorps server, och laboratorieföretaget stängde själva läckan.

Trots detta vägrar LabCorp att avge ett officiellt uttalande i ärendet. De två tidigare cybersäkerhetshändelserna fick allmänheten uppmärksamhet tack vare SEC-ansökningar, men nu är LabCorp ovilligt att ge något mer än ett kort svar från en talesman. Företaget berättade för TechCrunch att felet nu har krossats och det lovade att informera drabbade patienter. LabCorp kan inte riktigt förneka det faktum att de läckta dokumenten var värd på dess servrar, men enligt TechCrunch vägrar det att bekräfta att filerna innehåller "LabCorp-information."

Vi är inte säkra på om detta gör det North Carolina-baserade företaget några fördelar. Det är tredje gången LabCorp har gjort nyheterna av alla fel orsaker, och till skillnad från de två första incidenterna, verkar det inte den här gången vara särskilt transparent för det. Förhoppningsvis kommer någon att inse att detta inte är en mycket bra strategi, och snart kommer vi att höra mer om den potentiella exponeringen direkt från hästens mun.

February 12, 2020

Lämna ett svar