Xakep #305. Многошаговые SQL-инъекции
Представители UnitedHealth Group подтвердили, что в результате вымогательской атаки, произошедшей в феврале 2024 года, у дочерней компании Change Healthcare были похищены личные и медицинские данные более 100 млн человек. То есть эта утечка является крупнейшей в сфере здравоохранения за последние годы.
Еще в мае текущего года глава UnitedHealth Эндрю Витти (Andrew Witty) заявлял на слушаниях в Конгрессе, что в результате хакерской атаки могла быть раскрыта «треть всех медицинских данных американцев».
Вскоре после этого Change Healthcare опубликовала уведомление об утечке данных, предупредив, что в результате февральской вымогательской атаки был раскрыто «значительное количество данных» о «значительной части населения Америки». Однако конкретные цифры не озвучивались.
На прошлой неделе на портале управления по гражданским правам Министерства здравоохранения и социальных служб США появилась новая информация об инциденте, и пострадавшими были официально признаны 100 млн человек.
Сообщается, что c июня Change Healthcare рассылает пострадавшим уведомления об утечке данных, в которых сообщается, что в ходе февральской атаки были похищены:
- информация о медицинском страховании (например, первичные, вторичные и другие медицинские планы/полисы, данные о страховых компаниях, ID участников/групп, ID плательщиков Medicaid Medicare);
- медицинские данные (например, номера медицинских карт, диагнозы, лекарства, результаты анализов, снимки, сведения об уходе и лечении);
- информация о выставлении счетов, претензиях и платежах (например, номера претензий, номера счетов, коды выставления счетов, платежные карты, финансовая и банковская информация, данные о произведенных платежах и так далее);
- прочие персональные данные, включая номера социального страхования, водительских прав, удостоверений личности, а также номера паспортов.
При этом похищенная информация может различаться для каждого конкретного пострадавшего, и подчеркивается, что медицинские данные были раскрыты не во всех случаях.
Напомним, что эту вымогательскую атаку и утечку данных связывают с хакерской группировкой BlackCat (ALPHV). В начале года этот взлом привел к масштабным сбоям, так как Change Healthcare глубоко интегрирована с системой здравоохранения США и работает с электронными медицинскими картами, обработкой платежей, анализом данных в больницах, клиниках и аптеках. В частности, нарушение работы систем привело к тому, что врачи и фармацевты не могли оформлять заявки, а аптеки не могли принимать к оплате льготные рецепты, в результате чего пациентам приходилось оплачивать полную стоимость лекарств.
При этом ранее в UnitedHealth Group признавали, что заплатили злоумышленникам выкуп, чтобы получить дешифровальщик и не дать хакерам обнародовать украденную во время атаки информацию. Сумма выкупа якобы составила 22 млн долларов США, и после его получения BlackCat отключила свои серверы и исчезла, совершив exit scam.
Однако на этом проблемы Change Healthcare не закончились. Дело в том, что позже один из бывших партнеров группировки заявил, что данные компании все еще находятся у него, то есть не были удалены после выплаты выкупа. На тот момент злоумышленник уже сотрудничал с новой вымогательской группировкой — RansomHub и начал сливать украденные данные, требуя от компании дополнительную плату.
Через несколько дней после этого данные Change Healthcare исчезли с сайта RansomHub, что позволяет предположить, что United Health все же заплатила злоумышленникам второй выкуп.