Langdurige hack bij medisch incassobedrijf in VS toont kwetsbaarheid keten

hackMet een  zogeheten advanced peristent threat(APT) heeft een hacker in de Verenigde Staten acht maandenlang ongestoord toegang gehad tot de database van een medisch incassobedrijf. Het gaat om American Medical Collection AgencyAMCA). Dit werd begin deze maand bekend. Dit bedrijf doet incassowerk voor derden. De data die aan de hack zijn bloot gesteld zijn o.a. van twee zeer grote bedrijven, die bloedonderzoek en andere diagnostische onderzoeken doen bij patiënten, namelijk Labcorp en Quest Diagnostics. De hack betreft overigens alle klinische laboratoria en zorgverleners die AMCA als incasseerder voor niet door henzelf te innen rekeningen gebruiken. Potentieel gaat het om data van rond de twintig miljoen mensen, zeven miljoen klanten van Labcorp en 12 miljoen van Quest Diagnostics. Van minimaal 200.000 mensen is creditkaartinformatie op het Dark Web aangetroffen. Naast het hacken van zorginstellingen of aanvallen met malware is het duidelijk dat ook de financiële afhandeling buiten die instellingen een aantrekkelijke prooi geworden is.  

APT  

Een Advanced Persistent Threat is een langdurige en doelgerichte cyberaanval waarbij een onbevoegd persoon of personen onopgemerkt en langdurig toegang krijgt(krijgen) tot een netwerk. Het doel daarbij is om continu toegang te krijgen en gegevens te stelen. APT-aanvallen richten zich vooral op landen en organisaties.. Een eerder voorval in Singapore beschreef ik  op 22 januari j.l. op deze website.

Zeer  gênant

Het meest gênante van de hack is dat die niet door AMCA zelf ontdekt is. Een cyberintelligence en beveiligingsbedrijf GeminiAdvisory kwam in februari 2019 data op het Dark Web tegen van 200.000 gecompromitteerde creditkaarten. AMCA lichtte men op 1 maart 2019 in, maar dat bedrijf gaf geen openlijk antwoord. Wel bleek in begin 2019 het betaalportaal van AMCA opeens offline te zijn gehaald door de directie. Het was pas weer bereikbaar begin mei. Het tijdvak waarin de hacker onbelemmerd te werk kon gaan blijkt achteraf van 1 augustus 2018 tot 30 maart 2019 geduurd te hebben. Acht maanden lang dus. Uit deze gebeurtenissen blijkt weer eens te meer dat het hacken van medische databases en bedrijven die aan de rand van de medische sector opereren blijkbaar steeds lucratiever wordt.

Man in the middle

Het ziet er naar uit dat de hacker een zogenaamde “man in the middle”-aanval gedaan heeft op het betaalportaal van AMCA. De aanvaller(s) legden daardoor betaalgegevens vast plus persoonlijke informatie van bezoekers van dat portaal. Een man-in-the-middle-aanval een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. Hierbij bevindt de computer van de aanvaller zich tussen de twee communicerende partijen. De berichten kunnen daarbij mogelijk gelezen en veranderd worden. Ook kunnen berichten worden verzonden die niet door de andere partij zijn geschreven.

Omvang

Bij de hack zijn NAW-gegevens, geboortedatum, telefoonnummers, bank- en creditkaartgegevens buitgemaakt. Daarnaast ook medische informatie in de vorm van vermeldingen van onderzoeken en de bijbehorende tarieven.  Zowel Labcorp als Quest benadrukken dat hun eigen database met medische data niet gehackt geweest zijn. De informatie die bij AMCA is buitgemaakt is echter toch te beschouwen als medische informatie.

Nederland  

Hier kennen we ook factoringsbedrijven, bijv. Infomedics en Famed die voor zorginstellingen of individuele zorgverleners de incasso verzorgen van de uitstaande rekeningen. Veel meer dan in de V.S. is er in Nederland sprake van landelijk gestandaardiseerde tarieven voor onderzoeken en verrichtingen. Het probleem daarbij is dat zelfs als er geen vermelding is van een diagnose of naam van een verrichting door het vaak unieke tarief de verrichting toch herleidbaar is. En daarmee de diagnose.

Uiterste zorg in hele keten

De gebeurtenissen in de V.S. maken duidelijk dat dit soort problemen zich evengoed in Nederland zouden kunnen voordoen. Het is daarom van groot belang dat zowel aan de kant van de zorgverleners, maar ook aan de kant van de financiële afhandeling grote aandacht dient te zijn voor cybersecurity, maar ook voor cyberintelligence.

W.J. Jongejan, 14 juni 2019