image

Amerikaans bedrijf aangeklaagd wegens lekken van bijna 4 miljoen patiëntgegevens

zaterdag 8 december 2018, 16:03 door Redactie, 6 reacties

Het Amerikaanse bedrijf Medical Informatics Engineering (MIE) is door 12 Amerikaanse staten aangeklaagd voor een datalek in 2015 waarbij bijna 4 miljoen patiëntgegevens in criminele handen kwamen. Kwaadwillenden waren in mei 2015 in staat om binnen te dringen in de backend-systemen van het bedrijf. Ze wisten daar gegevens van 3,9 miljoen burgers te stelen.

Het ging niet alleen om namen en adresgegevens, maar ook om social security-nummers, laboratoriumuitslagen, medische diagnoses, namen van artsen en andere medische gegevens.

MIE wordt beschuldigd van het overtreden van 27 federale wetten die betrekking hebben op het melden van een datalek, misleiding en beveiliging van persoonsgegevens, schrijft Naked Security.

Het bedrijf in kwestie zou de computersystemen onvoldoende hebben beveiligd. Ook werd niemand ingelicht over de slecht beveiligde systemen en werden de gedupeerden te laat geïnformeerd. Op 26 mei 2015 werd de hack ontdekt, op 10 juni werd er een melding over gemaakt op de website van het bedrijf. In juli werd begonnen gedupeerden per e-mail te informeren en pas in december 2017 ontvingen gedupeerden per post een brief over het incident.

In de aanklacht staat dat MIE verzuimd heeft de gevoelige gegevens te versleutelen terwijl het bedrijf dit wel beweerde te doen. Bovendien werden er testaccounts gebruikt met wachtwoorden 'tester' en 'testing', zodat de medewerkers van klanten niet met een eigen unieke gebruikersnaam hoefden in te loggen. Volgens de aanklagers was het bedrijf al eerder door pentesters gewaarschuwd voor deze risico's, maar ondernam het geen actie.

Uiteindelijk wisten de aanvallers via een van de testaccounts binnen te komen en werd door middel van SQL-injectie toegang verkregen tot de gegevens in de database.

Reacties (6)
09-12-2018, 08:58 door -karma4 - Bijgewerkt: 09-12-2018, 09:48
Ja, kijk uit als je gevoelige data verwerkt! Sla je Anno Domini 2018 nog wachtwoorden in plaintext op? Dat kan je flink in de problemen brengen!

[UPDATE] opmerkingen in algemene zin, niet voor dit specifieke geval
09-12-2018, 09:32 door karma4
Door The FOSS: Ja, kijk uit als je gevoelige data verwerkt! Sla je Anno Domini 2018 nog wachtwoorden in plaintext op? Dat kan je flink in de problemen brengen!
Het oplsaan van passwords is nodig in een IAM proces. Het gaat er om hoe je dat proces inricht. Nergens staat dat het plain tekst was. Volge de link en lees:
- "It also used test accounts sharing the passwords “tester” and “testing”, established so that a client’s employees didn’t have to log in with a unique user ID."
- "gaining further access to privileged accounts called .."
- "dn’t have any data exfiltration alarms in place. It was a network performance monitoring alarm that raised the red flag …"
- "When the breach was discovered, MIE only had a draft incident response plan, and there was no evidence that it followed that in any case, the states say."

Dat zijn vier kritische punten in da soort high over security frameworks waar gefaald is. (hoe herkenbaar …)
https://www.security.nl/posting/587922/ISO+standaarden+voor+management

"to follow several security measures. These include using multi-factor authentication, not making generic accounts accessible via the internet, using strong passwords, training staff properly in cybersecurity, using a security incident and event monitoring (SIEM) solution, and putting SQL injection attack detection measures in place."

"What’s interesting here is the collaborative nature of the settlement. As voices call for stricter federal privacy protection laws, this could be a sign that states are getting fed up with these mega-breaches and are taking things into their own hands."
Ik ben het al een tijdje zat hoe er met informatieveiligheid om gegaan wordt. Goed om te lezen dat het breder leeft,
09-12-2018, 09:47 door -karma4
Door karma4:
Door The FOSS: Ja, kijk uit als je gevoelige data verwerkt! Sla je Anno Domini 2018 nog wachtwoorden in plaintext op? Dat kan je flink in de problemen brengen!
Het oplsaan van passwords is nodig in een IAM proces. Het gaat er om hoe je dat proces inricht. Nergens staat dat het plain tekst was.

Oeps, dat heb ik niet willen suggereren voor dit specifieke geval. Ik bedoelde het in algemene zin. Als voorbeeld van wat je niet (meer) moet doen tegenwoordig.
09-12-2018, 11:57 door Briolet
Ik ben vooral verbaasd over:

Bovendien werden er testaccounts gebruikt met wachtwoorden 'tester' en 'testing', zodat de medewerkers van klanten niet met een eigen unieke gebruikersnaam hoefden in te loggen.

In bovenstaande samenvatting is het niet duidelijk, maar de klanten zijn de zorginstellingen en de medewerkers dus het personeel ervan. Als je testaccounts toelaat om in te loggen, weet je zelfs niet vanuit welke zorginstelling de data bekeken is.

Verder zie ik in het log op mijn mailserver dat vaak geprobeerd toegang te krijgen via accounts als "test", "kantoor", "zaak" etc. omdat die vaak ook nog even een simpel te raden wachtwoord krijgen.
09-12-2018, 17:43 door Anoniem
Als je nou in 2015 al merkt dat je incontinenter bent dan al je 4 miljoen klanten bij elkaar...... En je doet daar niks mee. Wat ben je dan?
10-12-2018, 08:49 door -karma4
Door Briolet: ... In bovenstaande samenvatting is het niet duidelijk, maar de klanten zijn de zorginstellingen en de medewerkers dus het personeel ervan. Als je testaccounts toelaat om in te loggen, weet je zelfs niet vanuit welke zorginstelling de data bekeken is.

Dat en MIE failed to encrypt sensitive information, even though it said it did, the lawsuit says. It also used test accounts sharing the passwords “tester” and “testing”, established so that a client’s employees didn’t have to log in with a unique user ID. duiden op grove en bewuste nalatigheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.