Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Aanvaller gijzelt database met gegevens 200.000 patiënten

vrijdag 6 januari 2017, 12:06 door Redactie, 6 reacties

Een aanvaller die onbeveiligde MongoDB-databases gijzelt heeft inmiddels 8500 slachtoffers gemaakt, waaronder een Amerikaanse kliniek waar de gegevens van 200.000 patiënten werden gekaapt. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt.

Veel van deze databases zijn zonder wachtwoord benaderbaar en een aanvaller genaamd "Harak1r1" maakt hier gebruik van. De aanvaller vervangt de inhoud van de database door een bericht dat er 0,2 bitcoin moet worden betaald om de gegevens terug te krijgen. Met de huidige wisselkoers is dat 175 euro. Eén van de getroffen organisaties is het Brain Health Center van Emory Healthcare in de Verenigde Staten.

De aanvaller wist daar een database met de gegevens van meer dan 200.000 patiënten te stelen, zo laat MacKeeper weten. Het gaat om namen, telefoonnummers, geboortedata, adresgegevens, e-mailadressen en in sommige gevallen ook medisch dossiernummers. Of de kliniek het gevraagde losgeld heeft betaald is onduidelijk. Inmiddels heeft het bitcoin-adres waar slachtoffers het geld naar toe moeten overmaken 20 transacties ontvangen.

Het probleem van onbeveiligde MongoDB-databases is al langer bekend. John Matherly van de zoekmachine Shodan maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Het gaat bij elkaar om 364 terabyte aan publiek toegankelijke data. Inmiddels zijn 8500 databases door de aanvaller gegijzeld, stelt Matherly via Twitter.

Slaapkliniek

Beveiligingsonderzoekers zijn er wel in geslaagd om één database te redden. Het betreft een database van een Amerikaanse slaapkliniek die veteranen met slaapproblemen helpt. Ook deze database bleek zeer gevoelige persoonlijke informatie te bevatten die voor iedereen op internet toegankelijk was. In totaal ontdekten de onderzoekers meer dan 1300 berichten tussen artsen en patiënten van meer dan 1200 mensen.

Daarnaast bleek de database namen, e-mailadressen, telefoonnummers, onversleutelde wachtwoorden en militaire rank te bevatten. Met name de opgeslagen chatgesprekken waren zeer persoonlijk. Na te zijn ingelicht werd de database offline gehaald, hoewel de onderzoekers van MacKeeper die het probleem rapporteerden geen reactie van de kliniek ontvingen.

Beveiligingsbedrijven waarschuwen voor Word-lek uit 2015
Kwart ziekenhuizen gebruikt geen beveiligde verbinding
Reacties (6)
06-01-2017, 12:18 door Rclctrnt
Het word tijd dat ziekenhuizen etc. openbaar maken op welke manier zij gegevens opslaan. Als ze hun database vrij toegankelijk maken vraag je hier ook om. Maar de patienten niet.
06-01-2017, 12:56 door Anoniem
Dit was toch al eerder gemeld of ben ik abuis?
06-01-2017, 13:34 door karma4
Door Rclctrnt: Het word tijd dat ziekenhuizen etc. openbaar maken op welke manier zij gegevens opslaan. Als ze hun database vrij toegankelijk maken vraag je hier ook om. Maar de patienten niet.
Welke his systemen ze gebruiken is openbaar te vinden. Het is de externe leverancier die de techniek en opties aanlevert. Wat die externe leverancier zelf inkoopt is voor een deel ook nog te vinden. Hoe ze de integratie en koppelingen gemaakt hebben valt onder het bedrijfsgeheim van de externe leverancier. De inkoop en promotie van de ziekenhuizen vertrouwt mogelijk veel te veel de externe partij en heeft zelf te weinig kennis om iets te bepalen en te verifiëren.

Komt op het zelfde neer als jouw vraag alleen de situatie is ietwat problematischer.
06-01-2017, 14:44 door Anoniem
Tijd dat Bitcoin wordt opgedoekt. Als er geen geld meer mee is te verdienen houdt die onzin wel op.
06-01-2017, 16:42 door Anoniem
Ja, hallo - Bitcoin is niet het kernprobleem, onveiligheid is dat wel.

Maar het zal wel weer op een schikking met de leverancier uitlopen
en het onveiligheidscircus trekt dan weer verder achter de groene bergen....

Er zijn te velen bij onveiligheid gebaat kennelijk, ga je weleens denken.
Maar dat is een valse gedachte drukt men mij steeds op het hart.

In de Middeleeuwen wisten we dat we in een onveilige wereld leefden maar konden er niets aan doen.
Nu we er iets aan kunnen doen, leven we weer liever in een nieuws soort van Middeleeuwen.
Wat een situatie......

Shodan zorgt voor heel wat crimineel vertier.

Maar als altijd het ligt niet aan het gereedschap, maar waar je het voor gebruiken wil.
07-01-2017, 10:27 door Anoniem
De enige webapplicatie waar ik ooit als ontwikkelaar bij betrokken ben geweest was een (omvangrijke) web-frontend op mainframe-applicaties. De webserver stond in een DMZ, de backend werd via service calls benaderd, het DBMS was niet rechtstreeks aanspreekbaar vanaf de webserver en omdat het geen SQL-database was werkte SQL-injectie daar sowieso niet (database-request werden daar sowieso niet in de vorm van een query-taal aan het DBMS doorgegeven). Gegevensvelden in die mainframewereld hadden vaste lengtes die gewoonlijk geen ruimte boden om iets kwaadaardigs toe te voegen, al vingen we desondanks wel potentieel riskante zaken af.

Vanuit dat perspectief heb ik me altijd verbaasd over het gemak waarmee databases op servers worden gezet die rechtstreeks aan het internet hangen, en waarmee applicaties die op aan het internet verbonden servers draaien over een directe lijn naar een DBMS beschikken, waar als iemand blundert met de autorisatie potentieel elke query over kan worden uitgevoerd.

Ik snap de voordelen op het gebied van ontwikkelgemak en -snelheid (en dus de ontwikkelkosten), maar ik snap ook de voordelen die het ontbreken van al te flexibele mogelijheden opleveren. Bij een service-interface naar een niet rechtstreeks aan het internet gekoppelde backend kan een aanvaller alleen gebruiken wat aan mogelijkheden geïmplementeerd is, in plaats van alle mogelijkheden die niet expliciet afgeschermd zijn. Even de hele database versleutelen of de wachtwoorddatabase uitlezen is er dan domweg niet bij. Schade aanrichten wordt dan maatwerk en de reikwijdte ervan is aanzienlijk bepekt ten opzichte van wat hier gebeurd is.

Maar ja, zo'n benadering is omslachtiger en duurder. Verschillen in degelijkheid worden voor veel afnemers pas zichtbaar als het misgaat, en als het nooit ernstig misgaat met een goede maar dure oplossing ziet men alleen dat het duur is. En dus winnen oplossingen waar het nodige op aan te merken is het op hun sloffen en krijg je dit soort ellende. En dus winnen aanbieders van goedkope oplossingen die claimen dat de beveiliging goed is en die pas door de mand vallen als de klant niet meer zonder ze kan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Image

Senior Security Consultant

Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.

Lees meer

Wat baart jou momenteel meer zorgen, traditionele criminaliteit of cybercrime?

11 reacties
Aantal stemmen: 755
Image
BYOD
07:55 door Anoniem

Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...

7 reacties
Lees meer
De verkiezingsprogramma's doorgelicht: Deel 4 digitalisering
20-02-2021 door Redactie

Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...

8 reacties
Lees meer
Prive bestanden van OneDrive worden openbaar bij gebruik van Versiegeschiedenis
02-03-2021 door hny3425

Als je voor OneDrive betaalt, kun je de functie Versiegeschiedenis gebruiken. Erg handig als je een vorige versie van een ...

22 reacties
Lees meer
Certified Secure LIVE Online training
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter