Lỗ hổng bảo mật tại nhà sản xuất máy theo dõi nhịp tim: Tin tặc đánh cắp dữ liệu bệnh nhân

Nhà sản xuất thiết bị giám sát tim mạch iRhythm Technologies cho biết tin tặc đã đánh cắp thông tin sức khỏe của bệnh nhân và cố gắng sử dụng dữ liệu này để tống tiền doanh nghiệp.

Công ty có trụ sở tại California chuyên cung cấp các thiết bị đeo được (wearable devices) để thu thập dữ liệu, sau đó phân tích và tạo báo cáo về sức khỏe tim mạch cho khách hàng. Vào ngày 8 tháng 6, iRhythm phát hiện hoạt động trái phép trên hệ thống và đã khởi động cuộc điều tra với sự hỗ trợ của các chuyên gia an ninh mạng bên thứ ba.

Chỉ một ngày sau, công ty nhận được tin nhắn từ một tội phạm mạng tuyên bố đã chiếm được thông tin nhạy cảm, bao gồm dữ liệu độc quyền của công ty, thông tin sức khỏe được bảo vệ (PHI) và các thông tin cá nhân khác.

Yêu cầu tống tiền và điều tra

Theo hồ sơ đệ trình lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), kẻ tấn công đã đòi tiền chuộc để đổi lấy việc không công khai dữ liệu bị đánh cắp. iRhythm đã xác nhận dữ liệu đã bị rút ra khỏi hệ thống và vào ngày 10 tháng 6, công ty xác định vụ việc này là quan trọng do khối lượng thông tin có thể bị ảnh hưởng.

Mặc dù công ty đã công bố yêu cầu tống tiền và sự tồn tại của dữ liệu bị đánh cắp, họ không đề cập đến bất kỳ cuộc đàm phán nào.

iRhythm đã dành một phần lớn hồ sơ để giải thích những gì tin tặc không lấy được. Theo công ty, sự xâm nhập bị giới hạn trong các ứng dụng kinh doanh và không bao giờ chạm đến hệ thống lâm sàng, thiết bị y tế hoặc kết nối của khách hàng. Việc chăm sóc bệnh nhân và hoạt động hàng ngày không bị ảnh hưởng.

Kỹ thuật xã hội và lỗ hổng ứng dụng bên thứ ba

Hiện tại, công ty chưa công bố bao nhiêu cá nhân có thể bị ảnh hưởng, dữ liệu cụ thể nào đã bị truy cập, hoặc các ứng dụng được lưu trữ bởi bên thứ ba nào liên quan đến vụ vi phạm. Họ cũng chưa xác định được nhóm đứng sau vụ tấn công.

Hồ sơ của công ty cho biết kẻ tấn công đã truy cập thông qua kỹ thuật xã hội (social engineering). Chính xác điều này đã xảy ra như thế nào vẫn chưa rõ ràng, mặc dù các tổ chức y tế ngày càng gặp phải các chiến dịch lừa đảo qua email (phishing), lừa đảo giả mảng bàn trợ giúp và các hình thức xâm nhập nhắm vào con người khác nhằm vượt qua các hàng rào phòng thủ kỹ thuật.

Tính đến ngày nộp hồ sơ, iRhythm cho biết họ chưa phát hiện bất kỳ sự truy cập trái phép nào đang diễn ra đối với hệ thống của mình và tin rằng vụ việc này khó có thể tác động đáng kể đến tình hình tài chính hoặc kết quả hoạt động của công ty. Công ty cũng cho biết họ có bảo hiểm mạng có thể chi trả cho một phần thiệt hại liên quan đến vụ vi phạm.

Sự công bố của iRhythm diễn ra chưa đầy một tuần sau khi gã khổng lồ dược phẩm Novo Nordisk tiết lộ rằng tin tặc đã sao chép dữ liệu bệnh nhân từ một số thử nghiệm lâm sàng, thêm thêm một cái tên y tế khác vào danh sách ngày càng tăng các tổ chức đang đối mặt với trộm cắp dữ liệu và nỗ lực tống tiền.