נגנבו מיליוני נתוני בריאות של אזרחי ארה"ב

ממדי המתקפה המתגלגלת מתרחבים: נתוניהם הרפואיים הרגישים של מיליוני אמריקנים נגנבו, לאחר שהאקרים ניצלו פגיעות של יום אפס בתוכנת העברת הקבצים הפופולרית MOVEit. ההאקרים ניצלו את הפגיעות ותקפו מערכות IT המופעלות על ידי יבמ (IBM).

מחלקת מדיניות הבריאות והמימון של קולורדו, ה-HCPF, האחראית על ניהול תוכנית Medicaid של המדינה, אישרה כי היא נפלה קורבן למתקפה "המונית" על MOVEit, וכי נחשפו הנתונים של יותר מארבעה מיליון חולים ומטופלים. בהודעת מחלקת המנהלה של קולורדו, נמסר כי "הנתונים נפרצו כיוון שיבמ, אחת מהספקיות של המדינה, משתמשת ביישום MOVEit כדי להעביר קבצי נתונים של ה-HCPF, כחלק מהתהליכים העסקיים הרגילים… אף מערכת ממשלתיות של HCPF או של מדינת קולורדו לא הושפעה מהאירוע, אבל לקבצי HCPF מסוימים המטופלים על ידי אפליקציית MOVEit בידי יבמ – ניגש שחקן האיום הבלתי מורשה".

הקבצים כללו את השמות המלאים של המטופלים, תאריכי לידה, כתובות, מספרי תעודת זהות, מספרי זיהוי של Medicaid ו-Medicare, מידע על הכנסתם של המטופלים, נתונים קליניים ורפואיים, כולל תוצאות של בדיקות מעבדה ותרופות, ומידע על ביטוח בריאות. HCPF מסרה כי מדובר בנתונים של כ-4.1 מיליון מטופלים.

הפריצה השפיעה גם על המחלקה לשירותים חברתיים של מיזורי, ה-DSS, אם כי מספר האנשים שנפגעו לא ידוע. לדברי הארגון עצמו, "יבמ מספקת שירותים ל-DSS. המתקפה לא השפיעה ישירות על אף מערכת של ה-DSS, אלא על נתונים השייכים ל-DSS".

הנתונים שנקצרו לא פורסמו באתר הדלפות של קבוצת ההאקרים CL0p, שנטלה אחריות על המתקפות. הקבוצה מסרה כי "אין לנו נתונים ממשלתיים". יבמ לא אישרה כי הושפעה מהפריצות של MOVEit ולא מסרה תגובה ל-TechCrunch.

ממשיך לגדול מספר הקורבנות שלה. הפריצה לכלי MOVEit Transfer של פרוגרס סופטוור האמריקנית.

הפריצה ל-MOVEit חמורה משחשבו 

פרסום המתקפה על קולורדו מגיע ימים ספורים לאחר שמחלקת ההשכלה הגבוהה של המדינה דיווחה כי היא חוותה מתקפת כופרה, במסגרתה ההאקרים השיגו גישה והעתיקו נתונים מ-16 השנים האחרונות מהמערכות שלה. אוניברסיטת קולורדו אישרה גם היא בחודש שעבר כי סבלה מפריצת נתונים הקשורה ל-MOVEit, וזו השפיעה על עשרות אלפי סטודנטים וסגל אקדמי.

גם PH Tech, חברה המספקת שירותי ניהול נתונים למבטחי בריאות בארה"ב, אישרה כי היא נפגעה מהפריצות של MOVEit, והמתקפות עליה השפיעו על המידע הבריאותי של 1.7 מיליון תושבי אורגון.

לפני ימים אחדים דיווחנו כי יותר מחודשיים לאחר שדבר הפריצה נחשף בראשונה, על ידי פרוגרס סופטוור (Progress Software) ממסצ'וסטס, מצעד הקורבנות לא מאט. הפריצה ל-MOVEit חמורה משחשבו: פגעה ביותר מ-600 ארגונים ו-40 מיליון איש.

MOVEit משמשת ארגונים למשלוח כמויות גדולות של נתונים, לרוב רגישים ביותר: מידע פנסיוני, מספרי תעודת זהות, רשומות רפואיות, נתוני חיוב ועוד. כיוון שרבים מאותם ארגונים טיפלו בנתונים של לקוחות אחרים, שבתורם קיבלו את הנתונים מצד שלישי, הפריצה התרחבה והתגלגלה בדרכים מפותלות לעיתים.

דוגמה לאופן שבו מתרחש אסון פרטיות עולמי

"יש כאן אפקט דומינו", אמר אחד החוקרים שעקב אחר הפרצה. "פריצות על ידי קבוצות האקרים דוגמת CL0p", ציינו מקצועני אבטחה, "מתרחשות בקביעות. אבל המגוון העצום של קורבנות MOVEit – מתלמידי בתי ספר ממלכתיים בניו יורק ועד נהגים בלואיזיאנה ופנסיונרים בקליפורניה – הפך אותה לאחת הדוגמאות הבולטות ביותר לאופן שבו פגם בודד בתוכנה עלול לייצר אסון פרטיות עולמי".

הפריצה החלה, ככל הנראה, ב-27 במאי, כך לפי החוקרים. כבר למחרת, לקוח התריע בפני פרוגרס על פעילות חריגה. ב-30 במאי פרסמה החברה אזהרה, ולמחרת הוציאה תיקון, שסיכל חלקית את מסע ההאקרים.

אלא שלא לכל הארגונים היה כל כך מזל. פרטים על היקף החומר הגנוב ומספר הארגונים שנפגעו אינם זמינים לציבור. אחד המומחים ציין כי "הפריצה כנראה השפיעה על אלפי חברות, ייתכן שלעולם לא נדע את המספר המדויק".

שלוש חברות אבטחת סייבר – שלא הצליבו ביניהן נתונים – העריכו כי מספר הארגונים שנפגעו הוא 602 והיקף הנפגעים עומד על 39.7 מיליון אנשים.

לפי מיקרוסופט, פושעי הסייבר האחראים למתקפה קשורים לקבוצת הכופרות הנודעת לשמצה CL0p, שבסיסה ברוסיה. החוקרים ייחסו את המתקפות ל-Lace Tempest – קבוצת האקרים הידועה בפעילות הכופרה שלה, שמנהלת את אתר הסחיטה CL0p, בו מתפרסמים נתוני קורבנות. מיקרוסופט אמרה כי ההאקרים הללו השתמשו בטכניקות דומות בעבר כדי לגנוב נתונים ולסחוט קורבנות.