格温内特医疗中心正在调查可能的数据泄露

格温内特医疗中心正在调查可能的数据泄露

佐治亚州格温内特县的一个非营利医疗服务提供商网络Gwinnett Medical Center(GMC)与Salted Hash就可能发生的数据泄露事件取得联系后,证实他们正在调查他们所称的IT事件。

上周晚些时候,Salted Hash第一次意识到GMC可能存在数据泄露,但目前还无法获得有关该事件的确切细节。

我们了解到,上周六(9月29日),GMC Lawrenceville的IT员工意识到一个事件,至少涉及几百份患者记录。在这一发现之后,被指控的袭击者立即发出威胁。

一段时间后,当地联邦调查局外地办事处的一名特工赶到现场,表示愿意提供协助,但不清楚联邦调查局是否知道出了什么问题,也不清楚在发出威胁后执法机构是否接到了电话。

混乱的周末一直持续到周二凌晨,据称的GMC患者数据开始出现在网上。公布的病人详细信息包括全名、出生日期、据称病人的性别,并声称医疗保健提供者试图掩盖事件。

当记者联系到GMC的发言人贝丝•哈迪(Beth Hardy)置评时,他表示,GMC没有数据泄露,而是表示,该非营利组织正在调查上周出现的一起IT事件。

在一份事先准备好的声明中,GMC表示,日常运营没有受到这起事件的影响,已经召集外部合作伙伴提供协助。其中一个合作伙伴是普华永道(PwC)。

当记者追问细节时,SaltedHash被告知调查仍在进行中,GMC仍在“试图确定此案的具体细节”

“GMC非常重视网络安全,我们致力于维护系统和数据的完整性、可用性和保密性。  这首先是识别威胁和进行审计,其中包括我们为保护我们的系统而制定的流程、程序和保障措施。

要求美国联邦调查局亚特兰大办事处发表评论的电话无人接听。

这是一个不断发展的故事。Salted Hash将在新信息可用时更新本文。

在这篇文章发表后不久,一位熟悉医学领域攻击的消息人士联系了SaltedHash,并给出了一些有趣的观察结果,认为有人试图在网上为GMC的事件感到羞愧。

这一切都可能是粒子矩阵的工作,鉴于威胁行为者对受害者的嘲弄和勒索要求的性质。最初,该组织开始使用开放RDP和其他方式向医疗受害者提供自制的勒索软件有效载荷,但他们去年放弃了这些努力。如今,这个组织大多坚持敲诈。在网上,袭击者声称他们联系了GMC的首席财务官汤米·麦克布莱德,但他“拒绝了我们的帮助”

网上嘲讽信息的另一个奇怪的方面是附属链接。发布包含所谓GMC患者数据的消息的人正在推广Lifelock关联链接,并鼓励GMC患者注册身份盗窃保护。

然而,在发布更多信息之前,不可能确定是哪个组织(如果有的话)对GMC的事件负责。

周三,亚特兰大《宪法》杂志报道说,美国联邦调查局正在调查格温内特医疗中心的黑客事件,引述美国联邦调查局的一名发言人证实,他们“意识到这一违规行为”,并与相关实体合作。

在SaltedHash看到的一封电子邮件中,FBI证实了他们的调查,并指出,因为这是一个“正在进行的调查,我们没有进一步的评论。”

然而,周三下午晚些时候,负责分享据称来自GMC的患者数据的Twitter帐户的人发布了更多信息。

在一篇关于Databreaches.net,黑客共享了AXIS IP摄像头的视频捕获,其中包括一个病人在床上的图像。这些照片的拍摄日期不详。

该账户还联系了SaltedHash,并分享了其他细节,包括从Opti Medical血液和气体分析仪获取的信息。

“Opti Medical数据库中的病人ID是最有用的,”据称的攻击者说,并补充说,这些ID就像病人记录的罗塞塔石。作为证据,他们与Salted Hash共享了一个样本记录,以便我们与GMC确认。

当我们试图联系GMC就这一新信息发表评论时,电话无人接听,直接转到语音信箱。

但是Twitter账号的幕后黑手们最严厉的评论集中在当前的违规调查上。发言的人对GMC发言人贝丝·哈代的评论表示异议,并指责医院对公众撒谎。

用他们自己的话来说,没有编辑或修改,这就是他们要说的:

“…询问beth他们的sscom无线手机工作情况。GMC对这个系统有控制权吗。答案是否定的。上次我们检查了他们的ascom系统和数据。告诉贝丝,allworx的电话让我们领先了他们一步。我们知道发生的一切……”

攻击者可能仍在系统中,观察事件响应小组的行动,这一事实令人震惊。但是咸杂凑没有办法最终证明这一点,因为我们并不了解GMC网络。

另一个有问题的事实是,攻击者能够访问一个医疗设备,而且不知道如果其中的任何数据被修改了会怎么样。虽然这位记者坦率地承认,他并不完全了解血气分析仪的工作原理,但我敢肯定,如果不知何故遗漏了这些变化,改变结果或记录可能会相当严重。

当被问及他们是如何进入这些系统时,Twitter上的这名人士说,“在大多数情况下,这是第一个错误。”

该人士在Twitter上说,共享的数据是新的,但从发布的屏幕截图中删除了日期,包括AllWorx系统的电话日志,一个Unite Connectivity Manager配置菜单。