MEDantexune société basée au Kansas qui fournit des services de transcription médicale pour les hôpitaux, les cliniques et les médecins privés, a supprimé son portail Web client la semaine dernière après avoir été informée par BreachTrace qu’elle divulguait des dossiers médicaux sensibles de patients – apparemment pour des milliers de médecins.
Vendredi, BreachTrace a appris que la partie du site de MEDantex qui était censée être un portail protégé par mot de passe que les médecins pouvaient utiliser pour télécharger des notes audio enregistrées sur leurs patients était plutôt complètement ouverte sur Internet.
De plus, de nombreux outils en ligne destinés à être utilisés par les employés de MEDantex ont été exposés à toute personne disposant d’un navigateur Web, y compris des pages permettant aux visiteurs d’ajouter ou de supprimer des utilisateurs et de rechercher des dossiers de patients par nom de médecin ou de patient. Aucune authentification n’était requise pour accéder à l’une de ces pages.
Cette page administrative exposée du site de MEDantex accordait à quiconque un accès complet aux dossiers des médecins, ainsi que la possibilité d’ajouter et de supprimer des utilisateurs autorisés.
Plusieurs pages du portail MEDantex laissées exposées sur le Web suggèrent que l’entreprise a récemment été victime de Rose blancheune souche de ransomware qui crypte les fichiers d’une victime jusqu’à ce qu’une demande de rançon soit payée – généralement sous la forme d’une monnaie virtuelle telle que le bitcoin.
Contacté par BreachTrace, fondateur et directeur général de MEDantex Sreeram Pydah a confirmé que la société de transcription basée à Wichita, au Kansas, avait récemment reconstruit ses serveurs en ligne après avoir subi une infestation de rançongiciels. Pydah a déclaré que le portail MEDantex avait été supprimé pendant près de deux semaines et qu’il semblait que le problème exposant les dossiers des patients au Web avait été en quelque sorte intégré à cette reconstruction.
« Il y a eu une injection de ransomware [into the site], et nous l’avons reconstruit », a déclaré Pydah, quelques minutes avant de désactiver le portail (qui reste en panne à la date de cette publication). « Je ne sais pas comment ils ont laissé les documents au grand jour comme ça. Nous allons supprimer le site et essayer de comprendre comment cela s’est produit.
On ne sait pas exactement combien de dossiers de patients ont été laissés exposés sur le site de MEDantex. Mais l’un des principaux répertoires exposés s’appelait « /documents/userdoc », et il comprenait plus de 2 300 médecins classés par ordre alphabétique des initiales et des noms de famille. L’exploration de chacun de ces répertoires a révélé un nombre variable de dossiers de patients, affichés et téléchargeables sous forme de documents Microsoft Word et/ou de fichiers audio bruts.
Bien que de nombreux documents exposés semblent être assez récents, certains des enregistrements remontent à 2007. On ne sait pas non plus combien de temps les données ont été accessibles, mais ce cache Google du portail des médecins MEDantex semble indiquer qu’il était grand ouvert le 10 avril 2018.
Parmi les clients répertoriés sur le site de MEDantex incluent Centre médical de l’Université de New York; Groupe médical multi-spécialités de San Francisco; Hôpital Jackson à Montgomery Ala.; Hôpital du comté d’Allen à Iola, Kan; Hôpital chirurgical de la clinique verte à Ruston, Louisiane ; Hôpital spécialisé Trillium à Mesa et Sun City, Arizona ; Hôpital universitaire Cooper à Camden, New Jersey ; Groupe médical Sunrise Dans Miami; la Clinique de Wichita à Wichita, Kansas ; la Centre de la colonne vertébrale du Kansas; la Centre orthopédique du Kansas; et Hôpitaux chirurgicaux de la Fondation à l’échelle nationale. Le site de MEDantex indique qu’il ne s’agit là que de quelques-uns des organismes de soins de santé qui s’associent à l’entreprise pour les services de transcription.
Malheureusement, l’incident de MEDantex est loin d’être une anomalie. UNE étude sur les violations de données publiée ce mois-ci par Verizon Entreprise ont constaté que près d’un quart de toutes les violations documentées par l’entreprise en 2017 impliquaient des organisations de soins de santé.
Selon Verizon, les attaques de ransomwares représentent 85 % de tous les logiciels malveillants dans les violations des soins de santé l’année dernière, et que les soins de santé sont le seul secteur dans lequel la menace de l’intérieur est supérieure à celle de l’extérieur.
« L’erreur humaine est un contributeur majeur à ces statistiques », conclut le rapport.
Source : Rapport d’enquête sur les violations de données de Verizon Business 2018.
Selon une histoire à BipOrdinateur, un forum d’actualités et d’aide sur la sécurité spécialisé dans la couverture des épidémies de ransomwares, WhiteRose a été repéré pour la première fois il y a environ un mois. Fondateur de Bleeping Computer Laurent Abrams dit qu’il n’est pas clair comment ce rançongiciel est distribué, mais que les rapports indiquent qu’il est installé manuellement en piratant les services de bureau à distance.
Heureusement pour les victimes de WhiteRose, cette souche particulière de rançongiciel est déchiffrable sans qu’il soit nécessaire de payer la rançon.
« La bonne nouvelle est que ce rançongiciel semble être déchiffrable par Michel Gillespie», a écrit Abrams. « Donc, si vous êtes infecté par WhiteRose, ne payez pas la rançon et publiez plutôt une demande d’aide dans notre Rubrique d’assistance et d’aide de WhiteRose.”
Les victimes de ransomwares peuvent également trouver de l’aide pour déverrouiller des données sans payer de nomoreransom.org.
BreachTrace tient à remercier la startup de cybersécurité basée en Inde Banbreach pour les infos sur cet incident.