In questa seconda parte dell’articolo sul data breach che ha visto coinvolta la Blackbaud, fornitrice a livello mondiale di software cloud con un portafoglio di *oltre 45 mila clienti sparsi in più di 100 paesi*, cercheremo di capire meglio quale impatto ha avuto (e continua ad avere) l’attacco informatico dello scorso inverno sulle strutture Ospedaliere e su quelle Medico-Universitarie colpite dal Ransomware.
E’ ormai assodato che quanto dichiarato inizialmente dalla Blackbaud, riguardo la possibile sottrazione “solo” di alcuni dati sensibili minori come il nome e cognome, indirizzo, account e-mail, data di nascita e numero di telefono, non poteva corrispondere alla realtà, ma c’era ben altro.
La Blackbaud a fine settembre, in colpevole ritardo, era stata “costretta” a modificare una nota precedentemente pubblicata sul proprio sito ammettendo, di fatto, che i dati sottratti durante l’attacco Ransomware avrebbero potuto riguardare anche quelli relativi a informazioni sui conti bancari, numeri di previdenza sociale, nomi utente e/o password e patenti di guida aggiungo io.
Come successo, ad esempio, alla “The MacDowell Colony Inc.” di Peterborough nello Stato dello New Hampshire che, il 21 agosto scorso (oltre un mese prima di quanto non sia riuscita a fare la Blckbaud), si è vista costretta a notificare all’Ufficio del Procuratore Generale (Office of the Attorney General Security Breach Notification) la possibile perdita di dati sensibili dal proprio sistema informatico. Fra i dati esfiltrati dal gruppo Ransomware c’erano i numeri di previdenza sociale (Social Security Number), altro numero di identificazione del governo (other government ID number) e, appunto, numeri della patente di guida (driver’s license number).
Una lettera di notifica inviata il 14 agosto, dove spiega della perdita di dati sensibili da parte della Blackbaud, era stata precedentemente inviata dalla “MacDowell” alle 300 persone residenti presso le proprie strutture. Di queste, 89 erano residenti nello stato dello New Hampshire.
MacDowell ha inoltre, di propria iniziativa, offerto due anni di abbonamento gratuito a Experian’s IdentityWorksSM. E’ un servizio di controllo e verifica sull’identità personale che include: il monitoraggio del credito bancario, rapporti del credito bancario; supporto al cliente in caso di frode, assicurazione contro il furto d’identità, risorse educative. Ma anche ExtendCare, un supporto alla risoluzione delle frodi che si estende oltre la durata dell’adesione iniziale. Quello che non ha fatto la Blackbaud per nessuna delle persone coinvolte nel furto dei propri dati.
E’ un data breach che ha colpito Fondazioni non-profit, Università, K12, associazioni culturali, ma anche strutture ospedaliere e le Università a loro collegate in diversi Paesi nel mondo oltre agli U.S. come Canada, Australia, Nuova Zelanda, Ungheria, Regno Unito.
Ed è proprio di Ospedali e delle Università a loro collegate che tratta questa seconda parte dell’articolo dedicato al Blackbaud data breach.
Ad oggi sono oltre 170 le strutture ospedaliere accertate colpite dal furto di dati, con oltre 10 milioni di persone, fra pazienti e dipendenti, ai quali potrebbero avere esfiltrato informazioni di identificazione personale (PII)
- nome e cognome
- data di nascita
- indirizzo e-mail e password
- numero di telefono
- numero di previdenza sociale
- dati bancari
- data del trattamento sanitario
- nomi dei dipartimenti del servizio ospedaliero
- medici curanti
- numero della cartella clinica
- data di ricovero
- data di dimissione
Due le strutture ospedaliere maggiormente colpite che in questo articolo verranno prese come esempio su tutte le altre: la Trinity Health (3.320.726) e la Inova Health (1.045.270). Da sole, 4.365.996 persone colpite, arrivano ad essere quasi la metà del totale di casi finora accertati.
La cosa che sorprende di più è che in quasi tutte le strutture ospedaliere o Università a loro collegate, il tempo di conservazione dei backup dei database da parte della Blackbaud va ben oltre un limite massimo ragionevole che dovrebbe essere di 1 o 2 anni.
Nel caso delle 92 strutture, presenti in 22 Stati americani, che fanno parte dell’intero sistema ospedaliero della Trinity Healt, i database contenevano informazioni vecchie di 20 anni (2000-2020). Lo dichiara la stessa Trinity in un comunicato fotocopia pubblicato sia sul “sito madre”, sia fra le pagine di alcune strutture ospedaliere a lei affiliate.
In molte altre invece o sono presenti comunicati molto brevi e con pochi dettagli riguardo l’incidente informatico subìto, mentre in altre non è presente alcuna nota che parli del Blackbaud data breach. In questo modo a nessuno, soprattutto pazienti e dipendenti, viene dato modo di comprendere se la propria struttura ospedaliera di riferimento sia stata o meno interessata dal furto di dati personali.
Ciò che è venuto meno a una gran parte delle strutture ospedaliere/Università medico scientifico/Fondazioni coinvolte dal data breach è la pessima, a volte mancata, comunicazione data ai propri pazienti e ai propri dipendenti su quanto stava succedendo.
Una mancanza di comunicazione che è poi figlia degli errori commessi dalla Blackbaud, gestore dei dati, sia per non essere stata in grado di salvaguardare gli interessi dei propri clienti, sia per aver gestito in maniera poco professionale la fase relativa il riscatto, poi pagato, senza avere l’assoluta certezza che migliaia di dati sensibili non venissero ugualmente utilizzati dal gruppo Ransomware (Maze?) o da altri gruppi di hacker, come credo invece sia successo.
Che in questa vicenda esista più di un attore lo do per scontato, oserei dire quasi certo. Qualche dubbio accompagnato da alcune flebili certezze le ho riguardo i tempi che hanno accompagnato il gruppo hacker all’interno dei sistemi informatici della multinazionale americana. Ci sono dati, che al momento non sono purtroppo suffragati da prove o certezze, che mi lasciano pensare che, nel mese di gennaio, siano state percorse dal gruppo Ransomware altre strade per entrare all’interno dei sistemi IT Blackbaud.
Aspetto con (im)pazienza che le due entità colpite in quel periodo, utilizzatrici di prodotti Blackbaud, prendano in considerazione le e-mail che ho loro inviato alcune settimane fa nella speranza abbiano trovato, nel frattempo, “la voglia” e il tempo di rispondere alle domande che ho posto.
Analizzando la vicenda ci troviamo difronte a una serie di passaggi del data breach ben chiari e definiti secondo quanto comunicato dalla Blackbaud ai propri clienti
- L’attacco Ransomware è iniziato il 07 febbraio ed è terminato il 20 maggio (il nome del gruppo Ransomware non è stato mai comunicato)
- Primo comunicato – Il data breach non ha interessato informazioni sulle carte di credito, conti bancari, numeri di previdenza sociale
- Secondo comunicato – Il data breach può aver interessato informazioni sul conto bancario, numeri di previdenza sociale, username e/o password
- Pagamento del riscatto (il valore del riscatto non è mai stato comunicato)
- Distruzione dei dati esfiltrati da parte del gruppo Ransomware
Quello che potrebbe essere successo oltre a quello che già è stato ampiamente scritto sulla vicenda
- L’attacco Ransomware è iniziato prima del 07 febbraio
- Dopo il pagamento del riscatto il gruppo Ransomware non ha distrutto i dati esfiltrati, ma potrebbe aver passato dei record ad altri gruppi hacker (DoppelPaymer, pubblicazione su rete Tor dei dati esfiltrati alla Newcastle University e alla Guilford Technical Community College)
- I sistemi IT della Blackbaud non sono stati bonificati in maniera corretta: altri gruppi Ransomware possono aver avuto accesso alla rete.
Chi effettua questo tipo di attacchi così sofisticati ai danni di società di un certo spessore non agisce mai in maniera superficiale. Se ritiene l’obiettivo un obiettivo interessante, “di valore”, fa in modo di “lasciarsi alle spalle sempre una porta aperta” che potrà sfruttare per un secondo attacco mirato.
Più volte abbiamo assistito nel corso degli ultimi 5-6 anni ad attacchi Ransomware ai danni della medesima vittima, spesso effettuati da diversi gruppi hacker. Quello che mi auguro è che sia la Blackbaud, ma anche le altre società che hanno subito recentemente un data breach valutino al meglio le proprie difese. Per ultimo, ma non per questo meno importante, mi auguro che tutte le aziende stanzino degli appropriati finanziamenti utili a formare e informare al meglio il proprio personale.