Разбор утечки персональных данных 54 тыс. работников различных американских компаний из медицинской сферы
dataleakВ данный момент на форумах в dark web распространяется новая база данных с 54,528 записями в формате: имя|фамилия|пароль|емейл.
Это довольно банальное событие (таких баз всплывает огромное кол-во) не было бы мне так интересно, если бы эти данные не оказались частью из гораздо большей базы данных, содержащей помимо имен, паролей и адресов эл. почты еще и американские номера социального страхования (SSN), номера телефонов (часть из них публичные, находящиеся на сайтах компаний, а часть мобильные) и логины в некую систему (из которой, по-видимому и была утечка).
Формат более крупной базы немного другой: “SSN”,“имя”,“”,“фамилия”,”пароль”,”логин”,”емейл”,”телефон”.
Хочу отметить, что все пароли очень простые и по всей видимости были восстановлены из хешей (т.е. изначально в системе они хранились не в открытом виде). Большинство паролей так или иначе составлены из имен и фамилий.
Очень малая часть адресов эл. почты находится в гигантской базе из 1.4 миллиарда паролей, про которую мы писали ранее. И даже те, что содержатся в ней, числятся там с совсем другими паролями. Из этого можно сделать вывод, что данная утечка совсем свежая и информация из нее еще не успела попасть ни в какие общедоступные сборные базы данных. Это косвенно подтверждается и постами на форумах.
Если проанализировать содержимое утекшей базы, то можно обнаружить, что люди, содержащиеся в ней, легко группируются (по емейлам и телефонам) по нескольким компаниям и единственное, что объединяет эти группы компаний – сфера деятельности и регион. Все компании так или иначе связаны с медициной и находятся на восточном побережье США. Например, ZOLL Medical Corporation – разработчик оборудования и ПО для неотложной помощи, PromptCare – поставщик оборудования и препаратов для искусственного дыхания, Petersen Medical – поставщик мобильного медицинского оборудования для домашних нужд, Walgreen Company – вторая крупнейшая сеть аптек в США, и т.д.
Интересно, что логины в систему также группируются в пределах одной компании. Так, для ZOLL Medical Corporation все логины начинаются с zoll и затем следуют три цифры. Например, zoll123.
На данный момент у меня нет информации из какой именно системы произошла данная утечка, но по некоторым данным это была система обучения персонала. Возможно, некое отраслевое мероприятие, для которого требовалась такая чувствительная информация как номер социального страхования.
Медицинские учреждения постоянно становятся жертвами атак, потери и хищения данных. Недавно была утечка данных пациентов из медицинского учреждения Генри Форда и хищение данных в двух американских клиниках. Подобное происходит по всему миру – осенью была утечка базы данных малазийских врачей.
Автор: Ашот Оганесян
Подписаться на статьи в Telegram -- Утечки информации
Блог об информационной безопасности