image

Australisch lab waarschuwt 223.000 patiënten na acht maanden voor datalek

vrijdag 28 oktober 2022, 16:45 door Redactie, 2 reacties

Een Australische pathologisch laboratorium heeft 223.000 patiënten na acht maanden gewaarschuwd voor een datalek met hun persoonlijke informatie. Medlab Pathology werd in februari het slachtoffer van een ransomware-aanval waarbij er ook gegevens van 223.000 patiënten werden gestolen. Dit werd echter niet ontdekt door de forensisch specialisten die destijds waren ingehuurd, aldus Medlab (pdf).

In juni werd het bedrijf gewaarschuwd door het Australische Cyber Security Centre (ACSC) dat gegevens van patiënten op internet waren geplaatst. Volgens Medlab was de aangeboden dataset "complex en ongestructureerd" en kostte het verschillende maanden om te bepalen welke gegevens er waren gestolen en van wie. Daardoor zou het zo lang hebben geduurd voordat het bedrijf patienten kon waarschuwen. Een bron laat de Australische it-journalist Jeremy Kirk weten dat de data ongestructureerd was, maar dat het analyseren geen maanden in beslag zou moeten nemen.

Van ruim 28.000 patiënten zijn ook creditcardgegevens en namen buitgemaakt, waaronder ook duizenden CVV-nummers. Verder kregen de aanvallers van ruim 17.000 patiënten de gezondheidsdossiers met betrekking tot het laboratoriumonderzoek in handen en werden ook meer dan 128.000 zorgverzekeringsnummers met namen gestolen. Hoe de aanvallers precies toegang konden krijgen laat Medlab niet weten. De gecompromitteerde server is niet langer in gebruik.

Reacties (2)
28-10-2022, 21:47 door Anoniem
Hmm

Ik dacht toch echt dat CVV nummers helemaal niet mogen worden opgeslagen.

Even gelezen op Wikipedia. Inderdaad. Mag niet opgeslagen.

Geprobeerd de PCI Beveilingsstandaard te lezen. Moet dan eerst een overeenkomst met die club afsluiten. Dat gaat me voor nu te ver.

Dit drukt mijn vertrouwen in de Payment Card Industry
31-10-2022, 08:59 door Anoniem
Door Anoniem: Hmm

Ik dacht toch echt dat CVV nummers helemaal niet mogen worden opgeslagen.

Even gelezen op Wikipedia. Inderdaad. Mag niet opgeslagen.

Geprobeerd de PCI Beveilingsstandaard te lezen. Moet dan eerst een overeenkomst met die club afsluiten. Dat gaat me voor nu te ver.

Dit drukt mijn vertrouwen in de Payment Card Industry

Correct. CVV mag niet opgeslagen worden.
PAN (Primary Account Number) moet ook "unreadable" gemaakt worden bij het opslaan/bewaren/afdrukken/... (Vb: door specifieke delen te deleten, of enkel een hash op te slaan.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.