Worum handelt es sich?
Am 9. September meldete die französische Behörde für Informationssicherheit (ANSSI) einen Datenleck, bei dem Millionen von COVID-19-Testergebnissen auf einem Hosting-Server in Neuseeland gespeichert waren.
Tatsächlich wurde die Assistance Publique-Hôpitaux de Paris (AP-HP) Opfer eines Hackerangriffs, der durch eine Schwachstelle in ihrer Software verursacht wurde.
In diesem Zusammenhang wurden personenbezogene und medizinische Daten zugänglich gemacht. Dazu gehörten auch die Art des Tests und dessen Ergebnis sowie die Identität und Kontaktdaten des medizinischen Fachpersonals, das den Test durchgeführt hatte.
Die betroffenen Personen wurden kontaktiert, um sie über die Situation zu informieren, aber auch darüber, wie sie am besten reagieren sollten.
Eine Woche nach dem Vorfall bestätigen neue Informationen, dass es sich weder um einen menschlichen Fehler noch um einen Fehler der Einrichtung handelt, sondern um eine Software-Sicherheitslücke, die für böswillige Zwecke ausgenutzt wurde.
Diese Sicherheitslücke wurde vom amerikanischen Unternehmen Hitachi Vantara bestätigt, das die Software HCP Anywhere entwickelt, die von den Teams der AP-HP verwendet wird.
In einer Erklärung teilte Hitachi Vantara mit, dass es am 13. September einen Hinweis auf eine mögliche Sicherheitslücke erhalten habe. Nach einer Analyse habe sich herausgestellt, dass es sich um „ eine Reihe komplexer und diskreter Ereignisse, die möglicherweise zu einer Schwachstelle führen könnten, wenn sie von einem böswilligen Angreifer ausgenutzt würden ” (Quelle: Numerama).
Bereits am nächsten Tag konnte die Organisation ein erstes Skript bereitstellen, um die Auswirkungen dieses Angriffs und die Folgen dieser Sicherheitslücke zu begrenzen. Zwei Tage später konnte ein vollständiges Update dieser Software an alle Kunden übermittelt werden.
Kann das wieder passieren?
Die betreffende Sicherheitslücke wird als Zero-Day-Exploit bezeichnet. Diese Sicherheitslücken sind in der IT-Sicherheit besonders gefürchtet, da sie Schwachstellen betreffen, die bereits vor der Veröffentlichung einer Software, einer Anwendung oder eines Produkts bestehen. Sie sind gefährlich, da sie noch nicht dokumentiert sind. Sie können dem Entwickler des Produkts bekannt sein oder auch nicht. Einige Entwickler entscheiden sich trotz ihrer Kenntnis der bestehenden Schwachstellen aus wirtschaftlichen oder technischen Gründen dennoch dafür, das Produkt auf den Markt zu bringen.
Kann man diesen Fehler als Nachlässigkeit seitens des Entwicklers bezeichnen? Der Link zu den Ergebnissen hätte sich einige Tage nach der Konsultation des Patienten selbst zerstören müssen. Auch die Verschlüsselung der Daten wirft Fragen auf.
Um weitere Informationen zu erhalten, werden mehrere Untersuchungen durchgeführt: eine interne Untersuchung durch die AP-HP, eine weitere durch die Commission Nationale de l'Informatique et des Libertés (CNIL) sowie eine letzte durch die Staatsanwaltschaft von Paris.
Ist der Täter bekannt?
Es scheint, dass der Täter ein Informatikstudent aus dem Departement Var ist, der gegen den Gesundheitspass ist und seine Tat als militante Aktion gerechtfertigt hat. Er hatte nicht die Absicht, Lösegeld zu fordern oder diese Daten zu stehlen, sondern wollte lediglich „ die Schwäche und Fehleranfälligkeit des IT-Systems der AP-HP aufzuzeigen ”, so die AFP (Quelle: Le Monde).
Wie kann man sich davor schützen?
Als Einzelperson kann man einen Angriff auf eine bekannte Website nicht bekämpfen. Wir können jedoch nach potenziellen Bedrohungen Ausschau halten, wie zum Beispiel:
- Psychologische Manipulation: Diese Warnungen werden Ihnen zugesandt, um Ihnen vorzugaukeln, dass Sie bereits Kunde der genannten Organisation sind, oder um Ihre Neugier zu wecken und Sie zum Klicken zu verleiten.
- Das Smishing : Angriff auf Ihre Mobiltelefone über SMS oder Telefonanrufe
- Die verwendeten Designs, bestimmte große Marken werden reproduziert, jedoch selten identisch und/oder in ähnlicher Qualität. Achten Sie daher bitte auf die Details.
- Der Inhalt der E-Mail: Wenn die Aussagen unrealistisch erscheinen, ein unverhältnismäßiges Angebot, ein ungerechtfertigter Gewinn usw.
- Nicht anklicken: Wenn Ihnen ein Link, eine E-Mail oder eine Äußerung seltsam vorkommt, sollten Sie besser nicht darauf klicken.
- Sollten Sie jedoch feststellen, dass Ihre Daten gehackt wurden, zögern Sie nicht, dies der ANSSI zu melden und/oder eine Beschwerde bei der CNIL oder Cybermalveillance.gouv einzureichen.
Avant de Cliquer bietet auch an, Ihr Unternehmen durch unsere Lösung zu sensibilisieren.
Fachwissen auf Knopfdruck
