Jutaan Dokumen & PII Pekerja Kesehatan Inggris Terpapar dalam Pelanggaran Data Perangkat Lunak Manajemen Staf

Jutaan Dokumen & PII Pekerja Kesehatan Inggris Terpapar dalam Pelanggaran Data Perangkat Lunak Manajemen Staf

Peneliti cybersecurity, Jeremiah Fowler, menemukan dan melaporkan kepada VPNMENTOR tentang database yang tidak dilindungi kata-kata yang berisi hampir 8 juta catatan milik perusahaan perangkat lunak yang berbasis di Inggris yang memfasilitasi manajemen data karyawan, kepatuhan, timesheet, dan penggajian.

Basis data yang diekspos secara publik tidak dilindungi kata sandi atau dienkripsi. Ini berisi 7.975.438 file dengan ukuran total 1,1 TB. Catatan termasuk gambar dan file.pdf yang berisi dokumen otorisasi kerja, nomor asuransi nasional, sertifikat, tanda tangan elektronik, lembar waktu, gambar pengguna, dan dokumen identifikasi yang dikeluarkan pemerintah. Basis data juga berisi 656 entri direktori yang menunjukkan perusahaan yang berbeda, yang sebagian besar adalah penyedia layanan kesehatan, agen perekrutan, atau layanan kerja sementara.

Nama database dan file internalnya menunjukkan bahwa mereka milik Logezy – perusahaan manajemen dan pelacakan karyawan yang berbasis di Inggris. Saya segera mengirim pemberitahuan pengungkapan yang bertanggung jawab ke Logezy, dan tak lama setelah database dibatasi dari akses publik dan tidak lagi dapat diakses. Meskipun catatan milik Logezy, tidak diketahui apakah database dimiliki dan dikelola langsung oleh mereka atau oleh kontraktor pihak ketiga. Juga tidak diketahui berapa lama database diekspos sebelum saya menemukannya atau jika ada orang lain yang dapat memperoleh akses ke sana. Hanya audit forensik internal yang dapat mengidentifikasi akses tambahan atau aktivitas yang berpotensi mencurigakan.

Menurut situs web mereka, perangkat lunak manajemen staf Logezy adalah solusi berbasis cloud yang dirancang untuk organisasi yang mengelola staf tetap dan sementara. Perangkat lunak ini menyediakan fitur yang bertujuan untuk merampingkan penyebaran pekerja, pembayaran, dan penagihan atau faktur dengan dokumen minim atau tanpa dokumen. Platform ini juga mengklaim untuk menyederhanakan manajemen data karyawan, pemeriksaan kepatuhan, waktu -waktu, dan penggajian menggunakan sistem digital. Aplikasi seluler Logezy tersedia di Android Play Store dan Apple App Store. Meskipun mereka mengklaim melayani bisnis di berbagai industri, perlu dicatat bahwa, dalam sampel terbatas, semua catatan yang saya lihat berkaitan dengan sektor perawatan kesehatan dan petugas kesehatan.

Ada banyak risiko potensial dengan paparan data apa pun yang terhubung ke industri perawatan kesehatan. Menurut sebuah laporan dalam kesehatan digital, Diperkirakan 79% penyedia layanan kesehatan di Inggris telah mengalami setidaknya satu pelanggaran data sejak 2021dengan peningkatan 22% tahun-ke-tahun dalam pelanggaran yang dilaporkan oleh profesional TI perawatan kesehatan. Selain itu, laporan tersebut menyatakan ada peningkatan 14% dalam kebocoran data yang tidak disengaja yang disebabkan oleh karyawan.

Bukan rahasia lagi bahwa data perawatan kesehatan adalah komoditas yang berharga bagi para penjahat cyber, tetapi demikian juga PII dari mereka yang bekerja di industri perawatan kesehatan. Catatan yang diekspos – termasuk dokumen otorisasi, nomor asuransi nasional, sertifikat, dan dokumen identifikasi – berisi banyak informasi yang dapat dieksploitasi atau berpotensi digunakan untuk berbagai tujuan jahat. Saya tidak mengatakan bahwa orang-orang ini berisiko atau jenis ancaman potensial ini, saya hanya menyoroti skenario dunia nyata untuk meningkatkan kesadaran dan untuk tujuan pendidikan.

Risiko potensial mungkin termasuk:

  • Pencurian Identitas: Data pribadi yang diekspos secara publik dalam bentuk dokumen identifikasi, nomor asuransi nasional, atau data ketenagakerjaan dapat menimbulkan risiko potensial yang serius. Penjahat dapat berusaha mengasumsikan identitas pekerja perawatan kesehatan mengetahui bahwa mereka memiliki pekerjaan yang stabil dan kemungkinan kredit yang baik, menjadikan mereka target bernilai tinggi. Ini berpotensi menyebabkan penipuan keuangan, dengan penjahat membuka akun atau mengambil pinjaman atas nama korban. Laporan FICO 2023 mengungkapkan bahwa sekitar 1,9 juta konsumen di Inggris (4,3%) melaporkan bahwa identitas mereka dicuri dan digunakan untuk membuka akun keuangan tanpa persetujuan mereka.
  • Pencurian kredensial: Paparan kredensial kerja, tanda tangan elektronik, dan data sertifikasi berpotensi mengarah pada akses yang tidak sah ke sistem perawatan kesehatan internal. Meskipun sebagian besar orang yang saya lihat adalah pekerja garis depan, beberapa dokumen termasuk nama pengawas atau administrator. Menargetkan personel perawatan kesehatan lebih jauh ke atas rantai komando dapat meningkatkan risiko hipotetis para penjahat yang mencoba mencuri data pasien yang sensitif atau mengakses sumber daya internal sensitif lainnya.
  • Serangan Rekayasa Sosial: Tidak ada jawaban pasti tentang seberapa besar peran faktor manusia dalam serangan cyber, tetapi diperkirakan bahwa rekayasa sosial menyumbang sekitar 70% -90% dari semua serangan siber. Penjahat dunia maya sering menggunakan informasi pribadi yang dikumpulkan dari petugas kesehatan untuk melakukan serangan rekayasa sosial, di mana mereka memanipulasi staf atau orang lain dalam organisasi untuk menyediakan akses ke sistem atau data. Misalnya, dengan mengetahui posisi karyawan, lokasi kerja, atau kolega, penyerang dapat membuat pesan phishing yang meyakinkan. Pada tahun 2023 dilaporkan bahwa serangan rekayasa sosial di industri perawatan kesehatan meningkat 279% dari tahun sebelumnya.
  • Serangan ransomware: Database penyimpanan cloud yang terbuka atau salah konfigurasi memiliki berbagai risiko potensial, tetapi tidak ada yang merusak operasi bisnis sebagai ransomware. Penjahat dunia maya dapat mengunci sistem, mengenkripsi, atau bahkan menghapus file dan menuntut pembayaran (biasanya dalam crypto) dengan imbalan membuka atau memulihkan data. Banyak organisasi perawatan kesehatan mengandalkan sistem digital mereka untuk memberikan perawatan medis yang diperlukan – tidak memiliki akses ke catatan -catatan tersebut menimbulkan risiko potensial yang serius yang dapat membahayakan kehidupan pasien. Meskipun Logezy bukan penyedia layanan kesehatan, tampaknya mereka menyediakan data dan layanan untuk sejumlah besar organisasi perawatan kesehatan dan memproses data pribadi dalam jumlah besar, termasuk pembayaran dan pelacakan pekerja organisasi perawatan kesehatan, yang berpotensi mengeksploitasi oleh cybercriminals untuk tujuan ini. Menurut kantor Direktur Intelijen Nasional di AS, serangan terhadap sektor kesehatan naik 128% pada tahun 2023 dibandingkan dengan tahun sebelumnya.
  • Ancaman terhadap PII dan data pribadi: Informasi identitas dapat dijual di pasar gelap atau web gelap, di mana dapat berpotensi digunakan untuk berbagai jenis penipuan atau kegiatan kriminal. Penjahat dunia maya berpotensi menggunakan data pekerja perawatan kesehatan yang terpapar untuk membuat ID palsu atau untuk terlibat dalam kegiatan ilegal menggunakan identitas individu yang terkena dampak paparan data. Sejumlah laporan memperkirakan bahwa informasi pribadi seseorang diperkirakan bernilai antara £ 800 dan £ 1.000 di web gelap, sementara dokumen identifikasi palsu (menggunakan dokumen nyata sebagai templat) dapat dihargai sebanyak £ 4.500.
Jika Anda yakin informasi pribadi Anda mungkin telah diekspos, saya sarankan Anda memantau akun dan laporan kredit Anda untuk mengidentifikasi aktivitas yang mencurigakan atau upaya yang tidak sah untuk menggunakan informasi Anda.

Perangkat lunak manajemen staf sangat berharga bagi organisasi untuk merampingkan proses dan manajemen dokumen mereka. Namun, ketika pengembang layanan manajemen konten mengumpulkan dan menyimpan data banyak organisasi atau bisnis di satu lokasi terpusat, itu dapat meningkatkan risiko potensial kebocoran data lintas-klien. Saya merekomendasikan pengembang dan layanan yang mengumpulkan data dari beberapa bisnis untuk segmen catatan -catatan ini di lingkungan penyimpanan cloud yang terpisah untuk meningkatkan keamanan, mencegah akses yang tidak sah, dan meminimalkan dampak pelanggaran data potensial. Dengan mengisolasi data masing -masing bisnis melalui perangkat lunak pemisahan logis atau fisik, penyedia dapat menghindari meletakkan semua telur mereka dalam satu keranjang.

Dalam hal ini, perusahaan berada di folder yang tidak dilindungi non-pass yang terpisah, tetapi semua dokumen di dalam folder dapat diakses secara publik. Sebagai praktik terbaik, Saya akan merekomendasikan menggunakan database yang berbeda dengan kontrol akses terpisah. Memiliki segmentasi terstruktur dan mengenkripsi catatan -catatan tersebut adalah langkah pertama yang baik untuk memastikan data dilindungi, karena ancaman keamanan dapat dikelola di dalam lingkungan yang terisolasi.

Saya tidak menyiratkan kesalahan oleh Logezy, atau karyawannya, agen, kontraktor, afiliasi, dan/atau entitas terkait. Saya tidak mengklaim bahwa data internal, pelanggan, atau pengguna apa pun yang berisiko segera. Skenario risiko data hipotetis yang telah saya sajikan dalam laporan ini secara ketat dan eksklusif untuk tujuan pendidikan dan tidak mencerminkan, menyarankan, atau menyiratkan kompromi aktual integritas data. Seharusnya tidak ditafsirkan sebagai cerminan atau komentar tentang praktik, sistem, atau langkah -langkah keamanan spesifik organisasi mana pun.

Sebagai peneliti keamanan etis, saya tidak mengunduh data yang saya temukan. Saya hanya mengambil sejumlah tangkapan layar yang diperlukan dan semata -mata untuk tujuan verifikasi. Saya tidak melakukan kegiatan apa pun di luar mengidentifikasi kerentanan keamanan dan memberi tahu pihak -pihak yang relevan. Saya menyangkal setiap dan semua tanggung jawab atas setiap dan semua tindakan yang dapat diambil sebagai hasil dari pengungkapan ini. Saya mempublikasikan temuan saya untuk meningkatkan kesadaran akan masalah keamanan dan privasi data. Tujuan saya adalah untuk mendorong organisasi untuk secara proaktif melindungi informasi sensitif terhadap akses yang tidak sah.