Разделы
ГлавнаяБлог Новости ИБ-исследователь обнаружил данные 200 тысяч пациентов в неправильно сконфигурированных репозиториях GitHub
18 августа 2020
711

ИБ-исследователь обнаружил данные 200 тысяч пациентов в неправильно сконфигурированных репозиториях GitHub

Всего эксперт из Нидерландов обнаружил 9 неправильно сконфигурированных репозиториев, принадлежащих медицинским ИТ-компаниям. Утечка затрагивает персональные и медицинские данные как минимум 200 тысяч граждан США.

Голландский исследователь в области информационной безопасности обнаружил на GitHub девять инцидентов утечки данных, связанных с медицинскими данными двухсот тысяч пациентов их США. Причем причины утечек очень парадоксальны и сводятся к ошибкам разработчиков при настройке репозиториев GitHub.

Джелле Урсем (Jelle Ursem) – этический хакер из Нидерландов, совместно с Databreaches.net, опубликовали совместный отчет с подробным описанием девяти инцидентов утечки данных в различных медицинских учреждениях. При этом только одно из них является традиционной организацией здравоохранения, остальные же – партнеры мед. учреждений или же медицинские ИТ-компании, обслуживающие медицинский сектор.

Все 9 утечек были обнаружены на самой популярной платформе разработчиков программного обеспечения GitHub с помощью нескольких простых операций поиска. В результате чего он обнаружил тревожно большое количество конфиденциальных данных, в том числе данные для аутентификации в ИТ-инфраструктуре.

Спустя несколько месяцев после своего первоначального расследования утечек информации Урсем объединился с Databreaches.net для написания полноценного отчета и раскрытия некоторых из своих выводов относительно утечек защищённой медицинской информации на GitHub. Исследователь по итогам обнаружения утечек оперативно уведомлял пострадавшие компании, однако только три из девяти пострадавших субъектов отреагировали на уведомление Урсена и исправили свои ошибки. Некоторые игнорировали его выводы, в то время как другие даже угрожали подать на него в суд – несмотря на то, что эксперт описал проблемы и дал компаниям достаточно времени для устранения утечек.

Перечень компаний, чьи данные были обнаружены на GitHub выглядит следующим образом:

  • Xybion
  • MedPro Billing
  • Texas Physician House Calls
  • VirMedica
  • MaineCare
  • Waystar
  • Shields Health Care Group
  • AccQData
  • И ещё одна компания, которая не устранила последствия утечки по сей день.

Всего в 9 утечках было раскрыто примерно 150 000-200 000 уникальных записей пациентов, И, возможно, это далеко не все, так как Урсем не скачивал данные или не получал доступ ко всему, что утекло. – следует из отчета

Утечки произошло по вине разработчиков

  1. Разработчики встраивали жестко захардкоженные учётные данные входа в код вместо того, чтобы сделать его параметром конфигурации на сервере. На котором выполняется код и используется в публичных, а не приватных репозиториях.
  2. Не используется двухфакторная или многофакторная аутентификация для учётных записей электронной почты, а ненужные старые репозитории не удаляются.
  3. Поставщики услуг также увеличили риск утечек, не сумев развернуть белые списки IP-адресов, не обеспечив принудительного сброса паролей и не обеспечив прозрачного механизма раскрытия информации.

Также исследователь предоставляет рекомендации по обеспечению информационной безопасности:

  1. Предоставить возможность ИБ-исследователям раскрывать информацию о вашей кибербезопасности, чтобы вы могли реагировать на инциденты: создайте адрес электронной почты «disclosure@вашакомпания и добавьте контакты директора по информационной безопасности своей компании либо иного ответственного за ИБ лица.
  2. Производите обучение сотрудников. В первую очередь тех, кто находится на первой линии контактов с потенциальными мошенниками и фишерами (рядовой персонал).
  3. Регулярно смотрите на GitHub упоминания названия вашей фирмы и доменного адреса для проверки возможной утечки.
  4. Регулярно принудительно меняйте пароль и не разрешайте его повторное использование. Хорошие пароли также бесполезны как и плохие, если вы их не меняете уже продолжительное время и/или после увольнения сотрудников, имеющих к ним доступ.
  5. Используйте 2FA или MFA для каждой сторонней службы, которую вы используете и которая поддерживает данные виды аутентификации.
  6. Убедитесь, что вы принудительно разрешили администратору использовать устройства, используемые для MFA и что каждая учетная запись входит в систему по крайней мере один раз при включении.
  7. Требуйте от разработчиков использовать частные репозитории и запретите публичные
    репы под риском «драконовских» санкций.
  8. НЕ допускайте возможности разработчикам вставлять пароли или аутентификационные токены в репозиториях кода.
  9. Запретите использование реальных (конфиденциальных и персональных) данных в репозиториях GitHub.
  10. Когда разработчики завершают работу, убедитесь, что их репозиторий(ии)
    удаляются.

Полная версия отчета GitHub Healthcare Leaks – защищенная медицинская информация во всемирной паутине.

Теги:
GITHUB,
конфиденциальность,
отчеты,
утечка данных
Читайте также
iOS-шпион LightSpy вернулся с серьёзным обновлением
15 апреля 2024
Хакеры снова ставят под сомнение безопасность macOS
1 апреля 2024
Вымогатели LockBit создают видимость нормальной работы после недавнего поражения в противостоянии с правоохранителями
5 апреля 2024