image

"Gegevens 4,5 miljoen patiënten gestolen via Heartbleed"

woensdag 20 augustus 2014, 13:35 door Redactie, 5 reacties

De aanvallers die de gegevens van 4,5 miljoen patiënten wisten te stelen zouden de Heartbleed-bug in OpenSSL hebben gebruikt, zo laat iemand die bij het onderzoek betrokken is tegenover Bloomberg weten. Het is niet de eerste keer dat Heartbleed door aanvallers is ingezet om organisaties aan te vallen.

In dit geval was de aanval gericht tegen Community Health Systems, dat 206 ziekenhuizen in de Verenigde Staten beheert. De organisatie liet maandag weten dat aanvallers onlangs toegang tot het netwerk hebben gehad. Daarbij werden patiëntgegevens zoals namen, Social Security nummers, fysieke adresgegevens, geboortedata en telefoonnummers buitgemaakt. Iedereen die in de afgelopen vijf jaar een behandeling in één van de aangesloten ziekenhuizen heeft gehad is door de inbraak getroffen.

De Heartbleed-bug in OpenSSL maakt het mogelijk om informatie uit het geheugen van webservers te stelen. Volgens een expert die Bloomberg sprak is het de eerste keer dat de Heartbleed-bug bij aanvallen wordt ingezet. In april werd echter een Canadese tiener gearresteerd die de Heartbleed-bug zou hebben gebruikt om gegevens van Canadese belastingbetalers te stelen. In dezelfde maand liet beveiligingsbedrijf Mandiant weten dat aanvallers Heartbleed bij een gerichte aanval hadden toegepast om toegang tot het VPN van een organisatie te krijgen.

Reacties (5)
20-08-2014, 18:23 door Anoniem
Ik snap gewoon de wereld soms niet meer... Als je weet dat met dergelijke gevoelige informatie werkt, zorg je toch gewoon dat je de boel beveiligt... Hoe kan het toch steeds weer gebeuren dat een dusdanig grote fout, die overal in het nieuws is geweest, die zo eenvoudig te dichten is, toch wordt misbruikt en wel te verstaan bij een 'Community Health Systems' dat de servers beheert van 20 ziekenhuizen. Wat voor beheer doen ze dat, als ze niet eens even een patch kunnen installeren. Gelijk failliet verklaren en schade door bedrijf laten vergoeden, wat een schande voor de ICT is dat bedrijf.
20-08-2014, 21:29 door [Account Verwijderd] - Bijgewerkt: 20-08-2014, 21:31
[Verwijderd]
21-08-2014, 07:45 door Anoniem
Organisaties worden te groot, infrasturen te complex en beheer organisaties te klein.
Gevolg men loopt altijd achter, als men al proactief bezig is.

Nee als het aan mij ligt blijven dit soort gegevens onbereikbaar vanaf het internet.
21-08-2014, 08:11 door [Account Verwijderd]
Ik verbaas me over het feit dat ik me weer verbaas ......

Zolang security een ondergeschoven kindje is en het vooral gaat om continuïteit zullen dit soort berichten blijven komen.

Triest
27-08-2014, 16:18 door Anoniem
Heel eenvoudig: beveiliging kost geld, en er is geen aansprakelijkheid na diefstal. Er moet een Wet komen die een bedrijf aansprakelijk kan houden voor te weinig beveiliging, of zelfs helemaal geen beveiliging. Als ze dat geld gaat kosten dan is het snel opgelost.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.