一个知名黑客论坛上发布的勒索信息截图。 Photo: Supplied
要点速读:
- 涉案黑客称,针对Manage My Health的勒索软件攻击行为只为"赚钱";
- 受影响公司需要在本周二上午前支付赎金,否则40余万份用户资料将被公布;
- 网络安全专家担心部分患者可能遭受敲诈或身份盗用的风险;
- 该网站因响应迟缓而受到批评。
网络安全专家警告称,数以千计的在Manage My Health勒索软件攻击中受影响的患者可能面临身份盗用或敲诈的风险。
周日(1月4日)上午,一个自称为"Kazu"的涉案黑客团体表示,除非该公司在48小时内支付赎金,否则将公布他们掌握的40余万份文件。
Kazu在Telegram频道中的声明。 Photo: Supplied
该黑客组织在社交媒体Telegram上发帖声称为此次数据泄露事件负责,并表示他们已将原定于1月15日的最后期限提前,部分原因是Manage My Health的响应速度比预期更快,但主要是为了"向公司施压"。
"他们无视我们的邮件和信息提醒,同时也未对用户做出回应或解释到底发生了什么,这是主要问题。许多MMH用户一直要求公司寻求解释,但该公司要么无视他们,要么含糊其辞。"
Kazu表示,他们此前提出的赎金要求偏低,为6万美元,"目的是保护数据并尽快了结"。
"但该公司似乎对他们的用户数据漠不关心。"
黑客暗示,为了表明立场,他们有意泄露"有价值的"数据。
"我们完全清楚医疗数据的重要性以及敏感性。哪怕这家公司不支付赎金,我们也能为这些数据找到其他买家。为了证明我们所言非虚,并提高未来交易的成功率,我们决定:如果对方不支付赎金,就将这些数据免费公开。"
Kazu表示,他们"不是一个带有政治动机的激进黑客组织"。
"我们是商业化黑客,我们的主要目的是赚钱,并在这一行里打出知名度。"
该团体声称在过去两个月中,他们已成功从亚洲和非洲的多家医疗公司手中勒索到赎金。
"一旦这些企业支付赎金,我们就会给他们发回一份数据备份,并从我们的服务器上删除原有数据,并永远不会发布任何与这家公司有关的东西。"
新西兰患者暴露在风险中
为潜在"买家"提供的数据样本包括临床病历、化验结果、疫苗接种记录、医疗照片以及个人身份信息,如姓名、出生日期、地址、电邮和电话号码等。
网络专家、Hornby社区委员会成员Cody Cooper也通过其家庭医生注册了Manage My Health。
"我的家医诊所有2万人在册患者,所以他们曾大力推动大家上网。它被视为更加方便,但大家并没有太多选择。"
他在网上核实了相关说法的真实性,结果让他震惊。
"(泄露的信息包括)护照、精神科医生出具的ADHD诊断、患者未着装的照片--都是非常隐私的数据。作为一个普通患者,我会担心有没有人可能借此敲诈我?或者遭到个人勒索--如果他们不支付赎金的话?"
此外,他还对Manage My Health的响应迟缓进行质疑。
"入侵事件早在12月29日晚10点左右就公开了,而MMH网站到31日下午才注意到,并且直到当晚之前都没有采取断网隔离措施。"
此外他表示,公司通知受影响诊所和患者的速度也过于缓慢。
"他们本应能更快对数据泄露的范围做出判断,而事实是,他们在几天之后仍没有明确确认哪些信息被访问或复制,这令人担忧。"
不过他认为,满足黑客的要求也未必能解决MMH的问题。
"他们可能仍然会选择公开数据,仍然可能直接勒索普通用户,我们不可能知道这帮人是否有信用。"
"除此之外,如果这些黑客来自那些受制裁国家,相关法律和国际条约也禁止合法支付这笔赎金。"
他表示普通用户成为了这起事件中的"连带受害者"。
"我个人可能考虑注销账号了。发生这种事之后我对这个系统真的没什么信心,希望我的诊所能够找到其他更好的解决方案。"
黑客正在"闯名声"
数据记者Keith Ng指出,这些黑客似乎正在拿Manage My Health"杀鸡儆猴",以从另一个目标Saudi Icon Ransom获取更高的回报。
"他们暗示自己手头已有许多目标,不想被Manage My Health这种小角色分散注意力,这就是他们想迅速了结此事的解释--如果他们拿不到赎金,就会免费泄露数据。"
对Kazu来说,这是一次"品牌管理"的演练。
"他们希望把自己打造成一个'信得过的'勒索软件集团。这意思就是,'如果你乖乖付钱,我们就会删掉数据,并且永远不会找你们麻烦;如果你拒不配合,那就后果自负吧'。"
"所以他们其实是想靠这次事件立威,用新西兰的数据'杀鸡儆猴',这样在未来任何人都不敢小瞧他们。"
Ng表示,不幸的是,Manage My Health此次数据泄露中涉及的技术难度很可能并不高。
"可能几个人花几天时间就搞定了。这不是那种精英黑客团队的行为方式,他们(Kazu)追求的是以量取胜,要确保总有目标能得手。"
"他们四处尝试,寻找常见漏洞和系统缺陷,其实就是在挑'软柿子'--如果找不到,他们就迅速转向下一个目标。"
他表示,比起Manage My Health系统中到底哪个部分不安全,更重要的是公司是否建立了有效的流程,比如是否定期进行独立安全审计,并据此采取行动修复问题。
"一家定位为医疗信息管理平台的公司,理应把事情做好。因为一旦出现差错,就会发生这种灾难性的事件,这对他们构成生存威胁。"
"因此,我们对这些企业抱有更高期待是理所当然的。而他们这次让事件发生,就应该被追责。"
Ng表示,Manage My Health在一份公开声明中试图淡化事件的严重性。
"他们说只有7%的用户受到影响,但180万人的7%,其实是一个相当庞大的数字。他们还说'只有一个组件'受到影响,而非核心数据库。但其中涉及的内容--医疗照片、化验结果--对于受影响者来说都极其敏感且破坏性极大。"
"这很可能是我能想起来的发生在新西兰的数据泄露中,截至目前最严重的一次。"
网络安全公司Aura Information Security的Patrick Sharp表示,医疗记录对犯罪分子来说是非常有价值的。
他说,澳大利亚银行Medibank发生在2022年的一起勒索软件袭击事件导致数以千计的--甚至数十万起切实的金融犯罪。
"目前大约12.6万人受到影响--具体取决于所涉信息的类型--他们很可能会沦为犯罪团伙的受害者,面临大量诈骗、勒索等行为。"
RNZ已经向Manage My Health寻求置评。
您对我们的翻译满意吗? 如果您有任何建议,请发送电子邮件至 chinese@rnz.co.nz 。谢谢!
