Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hacker, który włamał się do bazy danych największej kliniki psychoterapii w Finlandii -skazany na karę więzienia. Wykorzystał puste hasło na admina…
Sam cyberatak na system IT kliniki miał miejsce pod koniec 2018 roku, a niedawno hacker został skazany na karę ~6 lat więzienia.
’Hacker’ najpierw szantażował samą klinikę, a kiedy to nie dało rezultatów – próbować szantażować pacjentów („zapłać 200 EUR, albo twoje dane zostaną upublicznione”)
Jako prawdopodobną dziurę w systemie wskazuje się bazę danych MySQL wystawioną publicznie do internetu, z pustym hasłem root (tj. administratora). Zatem w zasadzie każdy potencjalnie mógł pobrać całą bazę danych. Luka ta występowała w systemie IT kliniki jeszcze przez kilka miesięcy od pierwszego hacku.
Niewiele później po cyberataku klinika Vastaamo zbankrutowała.
’Hacker’ został wyśledzony między innymi dzięki 'testowej’ płatności 0.1 BTC, którą zrealizowała Policja. Płatność ta była śledzona i finalnie – po nitce do kłębka – udało się zlokalizować konto bankowe przestępcy.
✅ Warto pamiętać, że gdy operujemy na wyjątkowo wrażliwych danych (w szczególności danych medycznych) – warto dodatkowo zweryfikować czy dane te są odpowiednio chronione. Niestety cały czas branża medyczna nie należy do pionierów jeśli chodzi o bezpieczeństwo IT…
✅ W ataku wykorzystano banalną podatność (wystawiona do Internetu baza, bez hasła administratora). Często w trakcie cyberataków wykorzystywane są właśnie tego typu proste uchybienia. Najpewniej więc system IT przed produkcyjnym udostępnieniem zupełnie nie był sprawdzany pod względem bezpieczeństwa
✅ System nie posiadał odpowiednio skonfigurowanego logowania, co utrudniło analizę incydentu. W przypadku tak wrażliwych systemów najlepiej dodatkowo logować stosowne 'zdarzenia’ w centralnym, bezpiecznym systemie logów.
~ms
Puste hasło to też pewna kombinacja
Historia owego 0,1 btc jest zapewne dużo ciekawsza od samego włamania. Szkoda, że jej nie poznamy.
W szpitalu, gdzie pracuję, dowiedziałem się, że kwestie cyberbezpieczeństwa nie są priorytetem i mam optymalizować koszty
Na wszelki wypdek weź to od nich na piśmie albo lepiej nagraj rozmowę dyktafonem. Chociaż nagranie może będą chcieli podważyć jako wygenerowane przez Ajajaj – AI.
najlepiej miej to na mailu, wydrukuj, zachowaj – będzie fakap to cię to uratuje, może nie przed pracodawcą, który nie przyzna się do błędu…, ale przed ew. sądem
Za to hasło administratora to i ich powinni skazać
jak można skazać za coś czego nie było…;D