Het Canadese testlaboratorium LifeLabs heeft in 2019 de persoonlijke gegevens van 8,6 miljoen mensen gelekt omdat het had nagelaten beveiligingsupdates voor op dat moment twee jaar oude kwetsbaarheden adequaat te installeren. Dat blijkt uit een rapport van Canadese privacytoezichthouders, waarvan LifeLabs publicatie probeerde tegen te houden. Na een lang juridisch gevecht is het rapport uit 2020 alsnog gepubliceerd (pdf).

LifeLabs voert allerlei tests uit voor ziekenhuizen en andere zorgaanbieders. Naar eigen zeggen gaat het om 112 miljoen tests per jaar om ziektes op te sporen of vast te stellen. Eind oktober 2019 wisten aanvallers toegang tot de systemen van LifeLabs te krijgen. Daarbij maakten ze allerlei persoonlijke informatie buit, zoals naam, geboortedatum, adresgegevens, zorgverzekeringsgegevens en testuitslagen.

De aanvallers gebruikten om de systemen binnen te dringen drie kwetsbaarheden (CVE-2017-9248, CVE-2017-11317 en CVE-2017-11357) in Telerik UI. De impact van de beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Telerik UI maakt het mogelijk om gebruikersinterface-elementen aan websites en webapplicaties toe te voegen. Softwareontwikkelaar Progress kwam in juni en augustus 2017 met beveiligingsupdates en informatie over de kwetsbaarheden.

Spamfolder

De softwareontwikkelaar stuurde op 29 juni en 1 september 2017 beveiligingswaarschuwingen naar LifeLabs. Het laboratorium reageerde op de eerste e-mail en installeerde op 13 augustus de updates van juni. LifeLabs reageerde niet op de tweede waarschuwing, aldus de toezichthouders. De tweede e-mail was in de spamfolder van een medewerker terechtgekomen, die op dat moment de communicatie van Telerik ontving. De medewerker was een softwareontwikkelaar die geen onderdeel van het securityteam was en niet als onderdeel van zijn taken op de beveiligingswaarschuwingen hoefde te reageren.

De medewerker besloot de eerste waarschuwingsmail door te sturen naar de senior manager softwareontwikkeling en Chief Information Security Officer (CISO). De tweede e-mail werd echter niet opgemerkt. Hoewel LifeLabs op de eerste waarschuwingsmail reageerde bevatte de tweede waarschuwing een belangrijke update voor de initiële patch. Zonder de aanvullende maatregelen door te voeren waren de webservers van LifeLab nog steeds kwetsbaar. Nadat de medewerker de eerste waarschuwingsmail had doorgestuurd besloot LifeLabs de processen niet aan te passen, zodat de Telerik-waarschuwingen bij de juiste personen zouden komen.

Tekortkomingen

De tekortkomingen in het patchbeleid van Telerik werden in 2017, 2018 en 2019 ook door andere derde partijen vastgesteld. Verder bleek dat de gecompromitteerde webservers niet met 'least privileges' draaiden, was logging en monitoring van 'privileged accounts' onvoldoende, was de netwerksegmentatie inadequaat, was het scannen naar kwetsbaarheden onvoldoende en/of werden er inadequate scantools gebruikt, was er te weinig securitypersoneel en werd er niet gemonitord op ongeautoriseerde aanpassingen en bestanden op de webservers.

Volgens de privacytoezichthouders heeft LifeLabs dan ook geen redelijke stappen genomen om de persoonlijke gezondheidsgegevens van mensen te beschermen. De toezichthouders droegen LifeLabs in 2020 op om de juiste mensen op de security-mailinglist van Telerik te abonneren en ervoor te zorgen dat medewerkers hun verantwoordelijkheid kennen om de lijst op waarschuwingen te monitoren. Ook moest het lab uitgebreid geschreven beveiligingsbeleid vastleggen, alle gedupeerde mensen informeren en verschillende andere aanpassingen doorvoeren. LifeLabs betaalde de verantwoordelijke criminelen uiteindelijk een niet nader genoemd losgeldbedrag om publicatie van de gestolen data te voorkomen.