Nieuws
image

VirusTotal moet gegevens van gebruikers met Ierse gezondheidszorg delen

vrijdag 2 juli 2021, 11:03 door Redactie, 10 reacties

Googles online virusscandienst VirusTotal moet privégegevens van gebruikers met de Ierse gezondheidszorg HSE delen, zo heeft een Ierse rechtbank geoordeeld. Het gaat om gebruikers die vertrouwelijk materiaal dat tijdens een recente ransomware-aanval bij de HSE werd gestolen hebben geüpload en gedownload.

De aanval vond plaats in mei en zorgde ervoor dat ziekenhuizen allerlei afspraken moesten annuleren en de dienstverlening aan patiënten werd ontregeld. De aanvallers achter de aanval gaven de HSE uiteindelijk een gratis decryptietool voor het ontsleutelen van de data. Er zou echter ook zevenhonderd gigabyte aan data zijn buitgemaakt. Als de HSE geen twintig miljoen dollar losgeld betaalt dreigen de aanvallers deze data openbaar te maken. Zowel de Ierse overheid als de HSE hebben herhaaldelijk aangegeven dat er niet zal worden betaald.

De aanvallers achter de ransomware-aanval publiceerden verschillende bestanden met gestolen data op hun eigen website. De in totaal 27 bestanden bevatten de persoonlijke gegevens van twaalf bestanden. De bestanden werden na de openbaarmaking geüpload naar VirusTotal. Via de dienst kunnen gebruikers bestanden door zo'n zestig verschillende antiviruspakketten laten scannen.

Het gebruik van VirusTotal is gratis en vereist geen account. Het is echter mogelijk om een account aan te maken, waarmee onder andere toegang tot een gratis API wordt verkregen en er op Indicators of compromise (IOC's) van gescande bestanden kan worden gereageerd. Daarnaast biedt VirusTotal ook een betaalde optie. Daarmee is het onder andere mogelijk om door gebruikers geüploade bestanden te downloaden.

De geüploade HSE-bestanden zijn in totaal 23 keer gedownload voordat ze door VirusTotal werden verwijderd. De Ierse gezondheidszorg wil de gegevens van zowel de uploaders als downloaders en stapte naar de rechter. Die verstrekte de HSE een gerechtelijk bevel, waardoor VirusTotal nu gebruikersgegevens moet overhandigen. Het gaat dan om zaken als e-mailadres, ip-adres, telefoonnummers en adresgegevens, zo meldt The Journal. De HSE liet onlangs weten dat het herstel van de aanval al honderd miljoen euro heeft gekost.

Reacties (10)
02-07-2021, 11:39 door buttonius
VirusTotal heeft haar hoofdkwartier in Ierland; dus goede kans dat de Ierse rechtbank daar echt iets over te zeggen heeft.
02-07-2021, 12:35 door Anoniem
Afgezien van dat het niet zo netjes is om iets met ransomware te doen. Afgezien van dat die gezondheidstoko z'n zaken blijkbaar dus niet op orde had... Weet google dus prima wie je bent. Ook als je niet inlogt.

Waarom gebruiken mensen zoiets überhaupt nog?
02-07-2021, 13:45 door Anoniem
Begrijp ik hieruit goed dat als ik een bestand laat scannen door virustotal dat bestand vervolgens kan worden gedownload door iedereen met den account?
02-07-2021, 14:09 door Anoniem
Door Anoniem: Begrijp ik hieruit goed dat als ik een bestand laat scannen door virustotal dat bestand vervolgens kan worden gedownload door iedereen met den account?
Daar lijkt het wel op.
02-07-2021, 14:38 door Anoniem
Door Anoniem: Begrijp ik hieruit goed dat als ik een bestand laat scannen door virustotal dat bestand vervolgens kan worden gedownload door iedereen met den account?

Zie ToS:

"To the extent you elect to contribute any Sample to the Community, you confirm that all content contained in the Sample complies with these Terms and our Privacy Policy, that you are either the original owner of the Sample you submit or that you have the necessary rights and permissions to irrevocably contribute the Sample and share it, and information about it, with the Community.

You understand that if you submitting any Sample, the Sample is immediately shared for review by the Service’s Partners, and the resulting intelligence report is shared with you and, and with the Partners, which use the results to improve their own systems. As such, by contributing a Sample, you are contributing to the effort to raise global IT security levels.

While you retain any ownership rights in the original material contained in the Sample, when you upload or otherwise submit a copy of the Sample, you give VirusTotal (and those we work with) a worldwide, royalty free, irrevocable and transferable licence to use, edit, host, store, reproduce, modify, create derivative works, communicate, publish, publicly perform, publicly display and distribute all content contained in the Sample.

YOU FURTHER AGREE THAT YOU WILL ONLY UPLOAD SAMPLES THAT YOU WISH TO PUBLICLY SHARE AND THAT IN ANY CASE, YOU WILL NOT KNOWINGLY SUBMIT ANY SAMPLE TO THE SERVICE THAT CONTAINS CONFIDENTIAL OR COMMERCIALLY SENSITIVE DATA OR PERSONAL DATA OF ANY INDIVIDUAL WITHOUT LAWFUL PERMISSION."
https://support.virustotal.com/hc/en-us/articles/115002145529-Terms-of-Service
02-07-2021, 14:45 door Anoniem
Door Anoniem: Afgezien van dat het niet zo netjes is om iets met ransomware te doen. Afgezien van dat die gezondheidstoko z'n zaken blijkbaar dus niet op orde had... Weet google dus prima wie je bent. Ook als je niet inlogt.

Waarom gebruiken mensen zoiets überhaupt nog?
Goede vraag, vraag ik mij ook vaak af. Kijk bijvoorbeeld naar Logius, ontwikkelaar van DigiD, gebruiken Google Analytics (en iets van Microsoft).
Nergens wordt duidelijk welke data Google hiermee in handen krijgt en waarmee hun het allemaal koppelen (waarschijnlijk met alles wat Google maar kan). En vragen hieromtrent, worden simpelweg door Logius niet beantwoord, ook de AP geeft geen reactie. Meestal doet een bedrijf dit als ze liever niet hebben dat bepaalde zaken boven water komen.

DigiD, vooral dan hun applicatie raad ik sterk af om te gebruiken.
02-07-2021, 15:16 door Anoniem
Door Anoniem: Begrijp ik hieruit goed dat als ik een bestand laat scannen door virustotal dat bestand vervolgens kan worden gedownload door iedereen met den account?
Dat staat er gewoon netjes boven de submit knop

Analyze suspicious files and URLs to detect types of malware, automatically share them with the security community

By submitting data below, you are agreeing to our Terms of Service and Privacy Policy, and to the sharing of your Sample submission with the security community. Please do not submit any personal information; VirusTotal is not responsible for the contents of your submission. Learn more.

Het enige misleidende is dus het woord security community. Want een ieder die betaald kan zonder screening deel worden van hun ahem community. Maar ja als je neer zet share with our customers dan gaat je dienst natuurlijk minder opleveren ;)

En daarom lees je dus bij *alles* de disclaimer, ToS. Ook als iemand een link aanraadt en die gene lijkt verstand van zaken te hebben. Zakelijk gezien als je gebruik hebt gemaakt van deze dienst met data met persoonsgegevens erin moet je dus nu ook een datalek melding maken richting het AP.
03-07-2021, 14:36 door karma4
Door buttonius: VirusTotal heeft haar hoofdkwartier in Ierland; dus goede kans dat de Ierse rechtbank daar echt iets over te zeggen heeft.
Het gaat over verwerkingen ven europese burgers. Lijkt me prima dat virustotaal als verwerker en verwerkingsverantwoordelijke wordt aangesproeken. Ze hebben foutief persoonlijke gegevens van burgers gedeeld en hebben gegevens wie daarvoor verantwoordelijk zijn.
05-07-2021, 15:33 door Anoniem
Door Anoniem: Begrijp ik hieruit goed dat als ik een bestand laat scannen door virustotal dat bestand vervolgens kan worden gedownload door iedereen met den account?

Valt mij op dat er nog mensen zijn die zich niet beseffen dat als je iets gratis krijgt jij of de (meta-)data die jij genereert het product is.
05-07-2021, 20:55 door Anoniem
Het moet niet gekker worden eigenlijk. Maar ja dummy accounts of ghost accounts zijn nu ook al in de ban. Geweldig, geen ontkomen meer aan de spying.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search