Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Dwie różne apteki internetowe w Polsce zgłosiły właśnie incydent RODO. Wyciekły m.in. e-maile, PESELe, telefony, szczegóły transakcji. Prawdopodobnie trafionych jest więcej firm, tylko o tym jeszcze nie wiedzą…
Zaczęło się niewinnie od zgłoszeń naszych czytelników, którzy dostali mniej takiego maila:
Od: Aleleki.pl <komunikat_rodo@aleleki.pl>
Subject: Komunikat ws. naruszenia ochrony danych osobowych
Szanowni Klienci,
Prosimy o zapoznanie się z informacją na temat ataku hakerów na nasze serwery, który miał miejsce 20 września br.
(…)
sklepy internetowe aleleki.pl, biosuplementacja.pl padła ofiarą ataku hakerskiego na swoje serwery w zakresie, który umożliwiał dostęp do następujących danych: nazwa podmiotu, adres podmiotu, NIP podmiotu, REGON podmiotu, Pesel, imię i nazwisko osób kontaktowych, numer telefonu, adres e-mail oraz informacje nt. transakcji.
(…)
Niewielka apteka, cóż – zdarza się. Ale niedługo później otrzymaliśmy cynk na Twitterze od Andrzeja o kolejnej aptece (patrz niżej).
Na początek myśleliśmy, że chodzi o ten sam podmiot. Treść maila jest bowiem niemal identyczna (gimnastyka umysłowa: znajdźcie parę różnic pomiędzy zrzutem ekranowym poniżej a tym mailem). Inne są w każdym razie spółki (mają także odległe siedziby), same apteki też znajdują się pod zupełnie innymi domenami.
A może ktoś próbuje wrabiać firmy w naruszenie? Poprosiliśmy Andrzeja o nagłówki maili. Po krótkiej analizie, e-mail wygląda na autentyczny.
apteka2
No więc klienci poinformowani, sprawa zamknięta? No nie do końca. Apteka Aleleki hostowana jest pod tym adresem IP. A do tego IPka uderzał taki oto malware:
Malware też kontaktował się z innymi IP-kami, kolejną apteką, kolejnymi polskimi domenami, a przy okazji adresami paneli phpMyAdmin-ów.
Czy malware wykrada dane logowania do panelu administrowania bazy danych, a następnie ktoś kradnie zawartość całej bazy? Dobrzy ludzie właśnie pomagają nam w dokładniejszej analizie samej binarki, a jednocześnie warto zerknąć czy ten malware nie łączy się do jakiegoś systemu w Waszej firmie.
Aktualizacja1 27.09.2020: analizujemy/weryfikujemy wątek wspólnego dostawcy oprogramowania sklepowego dla ww. aptek.
Aktualizacja2 27.09.2020: otrzymaliśmy od naszych czytelników zgłoszenie o incydencie, które wysyłał sklep aleeko[.]pl. Nie jest on związany z branżą farmaceutyczną, ale posiada tego samego dostawcę rozwiązania e-commerce, co wspomniane wyżej apteki. Dalej zatem weryfikujemy wątek z Aktualizacji1.
Treść e-maila rozsyłanego przez aleeko[.]pl można zobaczyć tutaj.
Aktualizacja3 27.09.2020: Do firmy Novapoint wysłaliśmy następujące pytania:
[…]
Uprzejmie proszę o dodatkowe informacje:
1) Czy obsługują Państwo od strony IT wspomniane apteki (w zakresie
sprzedaży internetowej), czy same zarządzają własną infrastrukturą?
2) Jeśli są one obsługiwane przez Państwa firmę, to czy ewentualnie
również inne prowadzone przez Państwa sklepy ucierpiały w wyniku
incydentu? Które?
3) W jaki sposób doszło do incydentu?
4) Jakie środki podjęli Państwo aby zapobiec tego typu incydentom w
przyszłości?
–ms
„W firmie stosowany jest firewall” – wow:D
Według danych VT ten malware to Floxif, idąc dalej Microsoft podaje że to trojan aplikowany przez „ztrojanizowaną” wersję CCleanera:
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Win32/Floxif&threatId=
Może cechą wspólną jest CCleaner zainstalowany na serwerach a nie oprogramowanie e-commerce?
Zacznijmy od tego że sieci służb zdrowia nie są wgl zabezpieczone, wiem to z własnego doświadczenia a konkretnie byłem ostatnio w poradni (utworzonej przez miejscowy szpital) u lekarza rodzinnego i na wydrukowanym formularzu był nadrukowany adres lokalnego serwera z którego podłączone komputery pobierały dane z bazy danych, skany itd dodatkowo owy szpital i poradnia mają włączone wifi więc wystarczyłoby że wszedłbym z telefonem i dostał sie do sieci i dane pacjentów i inne dokumenty w tym poufne byłyby moje. Apteki raczej też nie mają żadnych zabezpieczeń więc nic dziwnego że można łatwo z nich wykradać dane. I jakim cudem służba zdrowia nie została jeszcze za to surowo ukarana? czemu ludzie nie pozywają ich do sądu? Tym bardziej że dane personalne są wypisywane na papierowych formularzach które każdy może przeczytać.
Jak można być takim tchórzem i nieudacznikiem?
Co ma sluzba zdrowia do e-commersowej apteki ? Z pewnoscia dane szpitala bylyby Twoje jakbys tam wszedl z telefonem. Wyobraz sobie odkrywco, ze WiFi to juz standard co najmniej od dekady w wiekszosci instytucji. Pewnie swiat nie przewidzial Twoich narodzin… no i, ze bedziesz mial telefon!
A co się dziwisz słabości rozwiązań w szpitalach? Mało kasy na logistykę i infrastrukturę, bo idzie w inne wydatki. Specjaliści nie będą za marne grosze procować, a większość informatyków, zwłaszcza zatrudnionych w jednostkach publicznych, to twierdzi, że antywirus i firewall w zupełności wystarczy. Ponadto mentalność ludzi w jednostkach publicznych jest taka, a nie inna. Im się wydaje, że wszystkie przepisy ich nie dotyczą, bo są pracownikami jednostek publicznych. Zapewne takie podejście jest konsekwencją tego, że jakiekolwiek kary finansowe ponosi jednostka bez regresu wobec sprawcy!
Znając szpitale i urzędy, potwierdzam to co mówisz, w wielu szpitalach, urzędach itp informatycy nie mają pojęcia o bezpieczeństwie, w sumie zgodnie z zasadą – jaka płaca, taka praca.