Nieuws
image

Canadese zorgverlener afgeperst met gestolen medische dossiers

donderdag 19 juli 2018, 12:22 door Redactie, 4 reacties

Aanvallers hebben bij een Canadese zorgverlener de vertrouwelijke medische dossiers van tienduizenden, en mogelijk zelfs honderdduizenden, patiënten gestolen en dreigen die openbaar te maken tenzij er wordt betaald. Het gaat om namen, telefoonnummers, adresgegevens, geboortedata, medische aandoeningen, diagnoses, chirurgische ingrepen, zorgplannen, medicatie en creditcardgegevens. Ook zijn er gegevens van medewerkers buitgemaakt.

De data is gestolen bij CarePartners, dat in opdracht van de Canadese overheid thuiszorg levert. De zorgverlener maakte vorige maand bekend dat aanvallers toegang tot systemen met persoonlijke gezondheidsgegevens en financiële informatie van patiënten en medewerkers hadden verkregen. De gestolen informatie van de medewerkers bestaat uit belastingdocumenten, verzekeringsnummers, rekeninggegevens en wachtwoorden in platte tekst. Hoe de aanvallers toegang wisten te krijgen is niet bekendgemaakt, maar CarePartners stelt dat er kwetsbaarheden zijn verholpen.

De aanvallers hebben een deel van de gestolen data met CBC gedeeld. Het gaat om de gegevens van 80.000 patiënten. De aanvallers claimen dat het een subset betreft en dat ze de patiëntendossiers en bijbehorende gegevens van honderdduizenden patiënten sinds 2010 bezitten. Tegenover CBC stellen de aanvallers dat ze een vergoeding hebben gevraagd om CarePartners uit te leggen hoe ze de beveiligingsproblemen kunnen verhelpen en dat de data niet online wordt geplaatst.

Volgens de aanvallers ontdekten ze bij toeval kwetsbare software op het netwerk van CarePartners die al twee jaar niet was geüpdatet. Via deze kwetsbaarheden en zwakke wachtwoorden wisten de aanvallers naar eigen zeggen honderden gigabytes aan data te stelen zonder dat dit werd opgemerkt. "Dit datalek raakt honderdduizenden Canadezen en was geheel te voorkomen. Geen van de gegevens die we hebben was versleuteld", aldus een verklaring van de aanvallers.

De zorgverlener wilde geen vragen over het losgeld beantwoorden, maar stelt dat het datalek maximaal 237.000 patiënten kan raken waarvan CarePartners de gegevens heeft verzameld. Of en wanneer de gegevens online verschijnen is nog onduidelijk.

Reacties (4)
19-07-2018, 13:23 door Anoniem
Tegenover CBC stellen de aanvallers dat ze een vergoeding hebben gevraagd om CarePartners uit te leggen hoe ze de beveiligingsproblemen kunnen verhelpen en dat de data niet online wordt geplaatst.
Een prima manier om computer security een slechte naam te bezorgen. Nog slechter dan'ie al heeft.

Inderdaad, werkelijk dreigen de data online te plaatsen zou nog effectiever zijn. Maar dit werkt ook al bestens.
19-07-2018, 13:43 door Anoniem
Slechte naam? Ja, als je ethisch hacker bent.
Boeiuh als je een zwarte hoed draagt en simpelweg geld wil verdienen. Vaak is het ook nog zo dat als je wel een normale melding maakt er niks mee gedaan wordt of men met rechtzaken gaat dreigen.

Het blijft een feit dat veel bedrijven niet willen investeren in een basis beveiliging. Tel daar bij op dat steeds meer gekoppeld is en dan moet het een keer fout gaan.
19-07-2018, 19:15 door Anoniem
Door Anoniem: Slechte naam? Ja, als je ethisch hacker bent.
Boeiuh als je een zwarte hoed draagt en simpelweg geld wil verdienen.
Hou maar op met je "ethisch" want daar weet je duidelijk niets van en "hacker" ben je ook al niet. Iedere keer hetzelfde kunstje flikken, daar is namelijk helemaal niets creatiefs of technologisch geavanceerds aan.

En als je het over het hollywood-en-media spraakgebruik hebt, nou, noem je je graag een boeman van de interwebse? Lijkt me ook al niet constructief.

Vaak is het ook nog zo dat als je wel een normale melding maakt er niks mee gedaan wordt of men met rechtzaken gaat dreigen.
"Heeeyyyy ik heb een gaatje in je software gevonduh nou moejje mei rexpekteruh!" zegt de "ethische" "hacker".
"Wat?!? Jij hebt mijn mooie software kapotgemaakt!?! BOETEN ZUL JE!!!" zegt de directeur van het softwarebedrijf.

Als je het zo bekijkt is het ineens heel goed te begrijpen waarom er toch iedere keer met die rechtszaken gesmeten wordt en wat voor een ontzettend gebroddel het zogenaamde "ethische" computer security gajes neerzet. Nou, professioneel hoor.

Het blijft een feit dat veel bedrijven niet willen investeren in een basis beveiliging.
Dat is ook niet heel gek als je kijkt hoe software en systemen veelal verkocht worden. "Intuitief", "geen training nodig", nou, dan werkt het toch?

Tel daar bij op dat steeds meer gekoppeld is en dan moet het een keer fout gaan.
Dat kun en kon je inderdaad op je vingers natellen, en toch hebben allerlei fabrikanten, onder andere die van zekere besturingssystemen met een wereldwijd enorme installed base, moedwillig met de pet gegooid naar iets van een redelijke beveiliging zelfs maar beginnen in te bouwen --dit hebben ze ook uitgebreid toegegeven, "security was not a priority"-- en heeft het kopend publiek dat maar eindeloos geslikt.

We wisten heel goed of hadden zeker kunnen weten dat wat we deden niet houdbaar was, en het enige wat er mondjesmaat gedaan werd was ontzettende cowboys inhuren die zichzelf "hacker" noemden en onderling niet konden stoppen met bekvechten wie er nou "ethisch" was en wat voor kleur cowboyhoed daar bij hoorde, maar eigenlijk nooit echt verder kwamen dan wat we onder de benaming s'kiddie verstaan. Gepruts, dus.

En zoals we hier vandaag nog maar eens kunnen zien, dit is "state of the art", "best current industry practice", en kennelijk gewoon geaccepteerd gedrag. Het security wereldje in een notedop.
20-07-2018, 11:21 door Anoniem
Een prima manier om computer security een slechte naam te bezorgen. Nog slechter dan'ie al heeft.
Heeft security dan een slechte naam? Misschien bij slechte programmeurs ;-)

Het blijft een feit dat veel bedrijven niet willen investeren in een basis beveiliging. Tel daar bij op dat steeds meer gekoppeld is en dan moet het een keer fout gaan.
Een bedrijf investeert alleen als het a) nut heeft en b) kosteneffectief is tegenover wat er beschermd moet worden. Ik ga geen miljoen spenderen aan de beveiliging van mijn tuinhuisje :-). In dit geval had het bedrijf wel meer moeten doen aan security, iets wat we in de toekomst vaker zullen zien hoor. Eén zo'n hack met de GDPR in de hand en menig bedrijf gaat over de kop. Geloof maar dat ze dat in de boardroom zullen bespreken!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure