W poniedziałek firma Community Health Systems, która zarządza 206 szpitalami w 29 amerykańskich stanach poinformowała, że cyberprzestępcy wykradli dane 4,5 mln pacjentów. Wśród nich znajdowały się m.in. nazwiska pacjentów, ich adresy, daty urodzenia, numery telefonów czy numery Social Security. Według zapewnień Community Health Systems, łupem hakerów nie padły numery kart kredytowych pacjentów, ani ich dokumentacja medyczna. Za atakami stoją najprawdopodobniej chińscy hakerzy.
Jedna z osób zaangażowanych w śledztwo w tej sprawie poinformowała anonimowo agencję Bloomberg, że atak był możliwy za sprawą luki Heartbleed. Tego samego zdania jest również David Kennedy, założyciel firmy TrustedSec z Cleveland zajmującej się cyberbezpieczeństwem. Tym samym, byłby to największy, jak do tej pory, znany przypadek wykorzystania przez cyberprzestępców wspomnianej podatności.
Informacje o wykryciu luki w bibliotece OpenSSL, pod nazwą Heartbleed, pojawiły się w pierwszej połowie kwietnia. Umożliwia ona hakerom odczytanie transmisji danych zabezpieczonych przez OpenSSL. W efekcie ich łupem mogą paść e-maile, hasła dostępu czy dokumenty. Zagrożenie jest niezwykle poważne, ponieważ z biblioteki OpenSSL korzysta dwie trzecie serwerów w Internecie. Z rozwiązaniem tego typu spotyka się niemal każdy z użytkowników sieci, np. łącząc się z serwerem poczty elektronicznej. W oknie przeglądarki przed adresem strony znajduje się wtedy charakterystyczna ikona zamkniętej kłódki. Takie zabezpieczenie w teorii ma gwarantować, że nikt nie może podejrzeć danych transmitowanych między użytkownikiem a serwerem.
Zdaniem Davida Kennedy'ego, hakerzy wykorzystali fakt, że firmie Juniper (z jej rozwiązań korzysta Community Health Systems), która produkuje sprzęt i oprogramowanie do zarządzania sieciami komputerowymi, wprowadzenie koniecznych poprawek związanych z ujawnieniem luki Heartbleed zajęło kilka tygodni. „Czas pomiędzy dniem zero (ujawnieniem informacji o Heartbleed), a dniem wprowadzenia poprawek, stanowi krytyczny okres dla organizacji, kiedy to monitorowanie i wykrywanie stają się podstawowymi elementami jej programu bezpieczeństwa" – napisał Kennedy na swoim blogu.
Jak informują Bloomberg i BBC, przedstawiciele Community Health Systems nie skomentowali doniesień o sposobie przeprowadzenia ataku.