Tyveriet af personlig data, som fandt sted tidligere i år, hvor personlig data, der tilhører omkring 4,5 millioner af en amerikansk hospitalskædes patienter, blev stjålet, blev gjort mulig af Heartbleed-sikkerhedshullet, mener en førende sikkerhedsekspert. Det skriver BBC.
Community Health Systems, USAs næststørste hospitalskæde med profit for øje, annoncerede mandag, at deres systemer var blevet hacket og cybersikkerhedsfirmaet TrustedSec, mener nu, at det var krypteringsfejlen Heartbleed, som blev udnyttet – noget som hospitalskæden endnu ikke har svaret på.
Datatyveriet vil – hvis det bekræftes – være det største indbrud relateret til Heartbleed.
Heartbleed vakte stor opsigt i foråret, da der var tale om et alvorligt sikkerhedshul i OpenSSL, som benyttes af mange store webtjenester.
Sårbarheden gør det muligt at få serveren til at udlevere indhold fra hukommelsen som kan inkludere brugernavne og adgangskoder på brugere, der er logget på, og det er ifølge TrustedSec netop, hvad der er sket hos Community Health Systems.
En sårbarhed netværksenhed gav mulighed for at udnytte Heartbleed, så hackerne derefter kunne at få adgang til det interne net via en VPN-tunnel og stjæle data.
Angiveligt har hackerne stjålet data om patienterne, men kun oplysninger som navn, adresse og personnummer og ikke journaloplysninger.
Var længe om at lukke hullet
David Kennedy, administrerende direktør for TrustSec, har sagt til Bloombergs Nyhedsbureau, at tre personer tæt på efterforskningen af Community Health Systems-hackingen, har ladet ham forstå, at Heartbleed er blevet udpeget til at være den sårbarhed, som blev brugt i forbindelse med hackingen.
Med den kunne hackerne stjæle navne, telefonnumre, adresser og socialsikkerhedsnumre fra hospitalskædens systemer.
Han fortæller, at hospitalerne brugte produkter fra soft- og hardware firmaet Juniper, som ligesom mange andre var flere uger om at få lukket sikkerhedshullet, efter Heartbleed-alarmen lød.
Ufuldstændig men mulig forklaring
En anden – uafhængig – ekspert kalder forklaringen for indtrængningen i hospitalssystemet for ufuldstændig, men troværdig.
»Blogposten er ikke særligt detaljeret og den er tilskrevet en anonym kilde,« siger Dr. Steven Murcoch fra University College Londons datalogiafdeling. Han siger, at man ikke kan konkludere på det grundlag, men at det bestemt er muligt, da Junipers systemer var sårbare som følge af Heartbleed.
Hospitalskæden – som har 206 hospitaler i 29 amerikanske stater – arbejder nu på at notificere de berørte patienter. Samtidig antyder de, at angrebet kom fra Kina, og at de blev brugt til at få fat i log-in-navne og koder til personalet, som efterfølgende er blevet brugt til at stjæle oplysningerne.
Hospitalskæden understreger, at de ikke mener, at nogen patientjournaler eller finansielle oplysninger er blevet stjålet.
Leave a Reply