Ein einfacher Passwortfehler führte dazu, dass 5,3 Millionen Gesundheitsakten geleakt wurden

Cybernews berichtet, dass seine Forschungsteams am 26. August 2024 eine 500 GB große ungeschützte Datenbank eines mexikanischen Gesundheitsunternehmens gefunden haben. Die Datenbank legt vertrauliche Informationen wie Namen, persönliche Identifikationsnummern (CURP), Telefonnummern, Beschreibungen von Zahlungsanfragen und mehr offen.

Die Gesamtzahl der betroffenen Menschen beläuft sich auf 5,3 Millionen, was etwa 4 % der Bevölkerung des Landes ausmacht, wie Cybernews feststellt. Der Cybernews-Bericht weist darauf hin, dass der Sicherheitsfehler bei einer „falsch konfigurierten“ Verwendung eines Datenvisualisierungstools namens Kibana aufgetreten ist, das offenbar nicht authentifiziert wurde.

Das riesige Datenvolumen wurde später Ecaresoft zugeschrieben, einem in Texas ansässigen Softwareunternehmen, das hinter cloudbasierten Krankenhausinformationssystemen wie Anytime und Cirrus steht. Mehr als 30.000 Ärzte, 65 Krankenhäuser und 110 ambulante Pflegezentren nutzen die Dienste von Ecaresoft, um Aufgaben wie Terminbuchung, Medikamentenverwaltung, Bestandsverwaltung und mehr zu verwalten.

Zu den weiteren gestohlenen Daten gehören Ethnien, Nationalitäten, Religionen, Blutgruppen, Geburtsdaten, Geschlecht, E-Mail-Adressen, der für Gesundheitsleistungen berechnete Betrag und die besuchten Krankenhäuser. Dieses Mal sind die Bedrohungsakteure nicht die Ursache. Es gibt keine offiziellen Informationen darüber, ob die betroffenen Benutzer Kenntnis von der Situation haben oder wie lange die Datenbank (inzwischen abgeschaltet) aktiv war.

Die Gesundheitsakten der betroffenen Benutzer wurden zwar nicht beschlagnahmt, aber da ihr mexikanischer Regierungsausweis (entspricht der US-Sozialversicherungsnummer) gefährdet ist, sind sie (unter anderem) dem Risiko von Überweisungsbetrug und Phishing ausgesetzt. Das Unternehmen hat noch keine Stellungnahme zu den ungeschützten Daten veröffentlicht, aber wir hoffen, bald etwas Offizielles zu hören. Wenn Daten ungeschützt bleiben, können sie von Suchmaschinen indiziert und von Bedrohungsakteuren übernommen werden, die das Internet ständig nach dieser Art ungeschützter Dateien durchsuchen.

Während sich US-Bürger in diesem Fall keine Sorgen darüber machen müssen, dass ihre persönlichen Daten kompromittiert werden, zeigt dies, wie wichtig Passwortsicherheit ist. Ein leicht zu erratendes Passwort macht Sie genauso anfällig wie gar kein Passwort. Einer der schlimmsten Passwortfehler im letzten Jahrzehnt war Equifax, der Datenverstoß im Jahr 2017 , der es Hackern aufgrund der Verwendung von „admin“ als Passwort leicht machte, ihre Daten zu stehlen.