Ytterligare en dag, ytterligare ett brott mot hälso-och sjukvård: Adit Left 3,1 miljoner patienter upptäckts

Adit Data Breach

Att placera miljontals människors data i en dåligt konfigurerad databas är ett misstag som alltför många organisationer gör. När exponeringen hittas, måste emellertid personerna i felet se till att problemet är korrekt avslöjat och att åtgärder vidtas för att förhindra sådana incidenter i framtiden. Tyvärr, som forskare som Bob Diachenko kan vittna, ibland föredrar dessa människor att agera som om ingenting har hänt.

Bob Diachenko upptäckte en databas som exponerade den personliga informationen till 3,1 miljoner patienter

På tisdagen publicerade Bob Diachenko ett LinkedIn- inlägg om en nyligen exponerad databas som innehåller personuppgifter från cirka 3,1 miljoner människor. Den läckta informationen inkluderade namn, e-postadress och fysiska adresser, telefonnummer samt institutioner där de drabbade individerna får medicinsk behandling. Det var tydligt att uppgifterna hade exponerats av en organisation som arbetar inom sjukvårdssektorn, och efter en snabb utredning insåg Diachenko att databasen tillhörde Adit, en plattform som hjälper läkare och sjukhus att bygga sin online-närvaro och skapa ett system som låter patienter boka möten med några klick.

Att säga att Bob Diachenko inte är främling för dessa typer av läckor skulle vara en underdrift. Han har spelat en nyckelroll i att upptäcka och säkra miljarder poster lagrade i dåligt konfigurerade databaser. När han visste att uppgifterna tillhör Adit slösade han inte tid att kontakta organisationen och avslöja läckan.

Adit gjorde ingenting för att säkra databasen

Det är inte helt tydligt när Elasticsearch-klustret först exponerades, men det hände troligtvis dagarna före 12 juli eftersom det var då sökmotorn BinaryEdge indexerade den. En dag senare hade Bob Diachenko redan upptäckt det och hade kontaktat Adit. Tyvärr fick han inget svar under de kommande nio dagarna.

Detta är dåliga nyheter för alla som har drabbats av läckan. Nyligen genomförda experiment har visat att läckande databaser attackeras flera gånger om dagen och att varje varning om en dåligt säker server måste behandlas som en nödsituation. Adit gjorde det inte, och vi kan bara spekulera i hur många cyberbrottslingar som fick tillgång till uppgifterna medan de fortfarande var online.

Vid ett tillfälle beslutade ett automatiskt skript att sätta stopp för läckan.

Meow-botten förstörde Adits data

Den 22 juli, tio dagar efter att databasen indexerades av BinaryEdge, beslutade Diachenko att ta en titt och se om Adit äntligen hade kommit runt för att säkra den. Det hade det inte.

Elasticsearch-klustret var fortfarande online och tillgängligt var som helst i världen. Alla linjer inuti den ersattes dock av slumpmässiga alfanumeriska strängar med ordet "meow" bifogat dem. Databasen hade riktats in av Meow-botten.

Även om det visade sig relativt nyligen har Meow-botten redan lyckats förstöra tusentals databaser. Det är ett automatiskt skript som letar efter Elasticsearch och MongoDB-installationer som är anslutna till internet men inte skyddas av ett lösenord och skadar informationen inuti dem. Klartextinformationen ersätts av slumpmässiga strängar som alltid slutar på "meow", därav namnet.

Bevis tyder på att Meow-botten inte stjäl uppgifterna innan de förstörs och att det inte lämnar några lösenanteckningar. Troligtvis skapades det av en vaksam hackare som vill hjälpa organisationer att säkra sina uppgifter genom att lära dem en hård lektion i cybersäkerhet. Hur som helst så är faktumet att i detta speciella fall, patienternas data inte längre exponerades efter attacken.

Vem drabbades, och vad behöver de se upp för?

Läkarna och sjukvårdsorganisationerna som använder Adit kanske inte ens känner till läckan, vilket innebär att de inte har något sätt att informera sina patienter. Berörda individer kan bli medvetna om det om Adit beslutar att samarbeta, men med tanke på att det ännu inte har offentliggjorts händelsen, verkar detta inte särskilt troligt vid denna tidpunkt.

Uppgifterna finns inte längre online i sin klartextform, men de stannade där en god stund, och det finns alla chanser att de föll i fel händer. Det är svårt att säga vilken del av Adits användare som drabbades, så om du någonsin har interagerat med plattformen måste du vara mer försiktig med potentiella bedrägerier.

August 14, 2020
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.