Dochodzenie w sprawie incydentu naruszenia danych, który w lipcu dotknął największego w Singapurze dostawcę usług medycznych ujawniło, że przyczyną było kilka krytycznych błędów popełnionych przez lokalnych administratorów, w tym stosowanie słabych haseł i zaniedbanie uaktualnień oprogramowania.
Według informującego o ataku wstępnego komunikatu prasowego „Nie była to robota hakerów”. Skradzione dane zawierały nazwiska, numery identyfikacyjne (NRIC – National Registration Identity Card), adresy, informacje o płci i rasie oraz daty urodzenia. W sumie wykradziono 1,5 miliona rekordów danych o pacjentach, wśród których znalazł się również premier Singapuru. Analiza incydentu wykazała, że żadne dane nie zostały usunięte ani zmodyfikowane. Jednak eksperci ostrzegają, że wykradziona baza może trafić na czarnym rynku i zostać wykorzystane przez przestępców do wyłudzeń.
Powołany w celu wyjaśnienia incydentu zespół ujawnił, jak udało się hakerom przeniknąć do sieci SingHealth. Badacze zauważyli, że naruszenie przypominało atak zaawansowanego trwałego zagrożenia (APT – Advanced Persistent Threats), w którym wykorzystano niestandardowe złośliwe oprogramowanie zaprojektowane specjalnie w celu penetracji infrastruktury SingHealth. Hakerzy wykorzystali niezałatane węzły końcowe (ang. endpoints) i inne wrażliwe miejsca systemu. Ułatwieniem dla przestępców było również wyjątkowo słabe hasło administratora.
„Umożliwiło to hakerom dostęp do sieci SingHealth już w sierpniu 2017 roku. Po wniknięciu do sieci udało im się zainfekować złośliwym oprogramowaniem pozostałe stacje robocze”
– cytując jednego z badaczy relacjonuje ZDNet.
Administratorzy popełnili ponadto błąd, powiadamiając kierownictwo wyższego szczebla (w tym również dyrektor naczelnego SingHealthz) o zaistniałym zdarzeniu dopiero po upływie niemal tygodnia.
„Zgodnie z krajowym prawem dotyczącym ochrony danych w Singapurze, SingHealth prawdopodobnie poniesie poważne konsekwencje lekceważenia podstawowych zasad bezpieczeństwa. Kolejny raz powodem włamania którego można było łatwo uniknąć, okazała się ludzka lekkomyślność” - komentuje Błażej Pilecki, Bitdefender Product Manager z firmy Marken.