خدمة النسخ السجلات الطبية تسربت

أسقطت شركة MEDantex ، وهي شركة مقرها كانساس التي تقدم خدمات النسخ الطبي للمستشفيات والعيادات والأطباء الخاصين ، بوابة عملائها على شبكة الإنترنت الأسبوع الماضي بعد إخطارها من قبل KrebsOnSecurity بأنها كانت تسجل سجلات طبية حساسة للمرضى - على ما يبدو لآلاف الأطباء.

في يوم الجمعة ، علمت KrebsOnSecurity أن جزء من موقع MEDantex الذي كان من المفترض أن يكون أطباء بوابة محمية بكلمة مرور يمكن أن يستخدم لتحميل الملاحظات المسجلة الصوتية حول مرضاهم كان مفتوحًا تمامًا على الإنترنت.

والأكثر من ذلك هو أن العديد من أدوات الإنترنت المخصصة للاستخدام من قبل موظفي MEDantex قد تعرضت لأي شخص لديه مستعرض ويب ، بما في ذلك الصفحات التي سمحت للزائرين بإضافة مستخدمين أو حذفهم ، والبحث عن سجلات المرضى حسب اسم الطبيب أو المريض. لا توجد مصادقة مطلوبة للوصول إلى أي من هذه الصفحات.

هذه الصفحة الإدارية المكشوفة من موقع MEDantex تمنح أي شخص حق الوصول الكامل إلى ملفات الطبيب ، فضلا عن القدرة على إضافة وحذف المستخدمين المعتمدين.

تشير عدة صفحات بوابة MEDANTEX المعروضة إلى الويب إلى أن الشركة كانت ضحية لشركة WhiteRose مؤخرًا ، وهي عبارة عن سلالة من الفدية التي تشفر ملفات الضحايا ما لم وإلى أن يتم دفع طلب فدية - عادة في شكل بعض العملات الافتراضية مثل Bitcoin.

Contacted by KrebsOnSecurity, MEDantex founder and chief executive Sreeram Pydah confirmed that the Wichita, Kansas based transcription firm recently rebuilt its online servers after suffering a ransomware infestation. Pydah said the MEDantex portal was taken down for nearly two weeks, and that it appears the glitch exposing patient records to the Web was somehow incorporated into that rebuild.

“There was some ransomware injection [into the site], and we rebuilt it,” Pydah said, just minutes before disabling the portal (which remains down as of this publication). “I don’t know how they left the documents in the open like that. We’re going to take the site down and try to figure out how this happened.”

It’s unclear exactly how many patient records were left exposed on MEDantex’s site. But one of the main exposed directories was named “/documents/userdoc,” and it included more than 2,300 physicians listed alphabetically by first initial and last name. Drilling down into each of these directories revealed a varying number of patient records — displayed and downloadable as Microsoft Word documents and/or raw audio files.

Although many of the exposed documents appear to be quite recent, some of the records dated as far back as 2007. It’s also unclear how long the data was accessible, but this Google cache of the MEDantex physician portal seems to indicate it was wide open on April 10, 2018.

Among the clients listed on MEDantex’s site include New York University Medical Center; San Francisco Multi-Specialty Medical Group; Jackson Hospital in Montgomery Ala.; Allen County Hospital in Iola, Kan; Green Clinic Surgical Hospital in Ruston, La.; Trillium Specialty Hospital in Mesa and Sun City, Ariz.; Cooper University Hospital in Camden, N.J.; Sunrise Medical Group in Miami; the Wichita Clinic in Wichita, Kan.; the Kansas Spine Center; the Kansas Orthopedic Center; and Foundation Surgical Hospitalsعلى الصعيد الوطني. يقول موقع ميدانتكس إن هذه ليست سوى بعض من مؤسسات الرعاية الصحية التي تتعاون مع الشركة لخدمات النسخ.

لسوء الحظ ، فإن الحادث في MEDANTEX أبعد ما يكون عن الشذوذ. وقد أظهرت دراسة حول انتهاكات البيانات التي تم نشرها هذا الشهر منقبل  شركة Verizon Enterprise أن ما يقرب من ربع جميع الخروقات التي وثقتها الشركة في عام 2017 تضم منظمات الرعاية الصحية.

يقول Verizon أن هجمات الفدية تمثل 85 في المائة من جميع البرامج الضارة في انتهاكات الرعاية الصحية في العام الماضي ، وأن الرعاية الصحية هي الصناعة الوحيدة التي يكون فيها التهديد من الداخل أكبر من ذلك من الخارج.

وخلص التقرير إلى أن "الخطأ البشري هو مساهم رئيسي في هذه الإحصائيات".

المصدر: Verizon Business 2018 تقرير تحقيقات خرق البيانات.

وفقا لقصة في BleepingComputer ، وهو منتدى الأخبار الأمنية ومساعدة متخصصة في تغطية تفشي الفدية ، تم رصد WhiteRose لأول مرة منذ حوالي شهر. يقول مؤسس BleepingComputer Lawrence Abrams أنه ليس من الواضح كيف يتم توزيع هذا الفدية ، لكن التقارير تشير إلى أنه يتم تثبيته يدويًا عن طريق اختراق خدمات سطح المكتب البعيد .

لحسن الحظ لضحايا WhiteRose ، هذه السلالة معينة من رانسومواري غير قابل للفك دون الحاجة إلى دفع الفدية.

وكتب ابرامز " الخبر السار هو أن هذا الفدية يبدو أنه غير قابل للفك من جانب مايكل جيليسبي ." "إذا كنت مصابًا بـ WhiteRose ، فلا تدفع الفدية ، وبدلاً من ذلك قم بإرسال طلب للمساعدة في موضوع الدعموالمساعدة الخاص بنا WhiteRose ".

قد يتمكن ضحايا Ransomware أيضًا من العثور على مساعدة في إلغاء قفل البيانات دون الدفع من nomoreransom.org .

وتود شركة KrebsOnSecurity أن تشكر شركة بانبراش التي تتخذ من الهند مقراً لها على بدء الأمن السيبراني من أجل مواجهة هذا الحادث.