بحران امنیت داده در حوزه سلامت؛ سرقت ۲۳۴ گیگابایت اطلاعات DentaQuest توسط گروه ShinyHunters
- وسعت نشت داده: افشای اطلاعات حساس مربوط به ۲.۶ میلیون حساب کاربری در پایگاههای داده شرکت DentaQuest.
- حجم و عامل حمله: سرقت و انتشار ۲۳۴ گیگابایت داده خام در دارکوب توسط گروه باجافزاری بدنام ShinyHunters پس از شکست مذاکرات باجگیری.
- ماهیت دادههای سرقتشده: نشت خطرناک اطلاعات هویتی (PII) و اطلاعات بیمه درمانی (PHI) شامل شناسههای دولتی و تاریخ تولد کاربران.
- واکنش سازمان: تایید رسمی حادثه سایبری توسط DentaQuest، حفظ تداوم عملیات (Business Continuity) و ورود تیمهای جرمشناسی دیجیتال شخص ثالث.
شرکت DentaQuest، یکی از بزرگترین مدیران و ارائهدهندگان خدمات بیمه دندانپزشکی در ایالات متحده، قربانی یک حمله سایبری گسترده شده است. این حادثه بار دیگر آسیبپذیری شدید زیرساختهای فناوری اطلاعات در بخش بهداشت و درمان را به تصویر میکشد. در حالی که سازمانهای درمانی به طور فزایندهای به سمت دیجیتالیشدن حرکت میکنند، هکرها نیز با استفاده از تاکتیکهای اخاذی مضاعف (Double Extortion) پایگاههای داده آنها را هدف قرار میدهند.
بر اساس گزارشهای موثق، گروه سایبری شناختهشده ShinyHunters مسئولیت این نفوذ را بر عهده گرفته و پس از به بنبست رسیدن مذاکرات مالی با این شرکت، کل آرشیو اطلاعاتی سرقتشده را به صورت عمومی در وب تاریک (Dark Web) منتشر کرده است. در این گزارش تخصصی از پایگاه خبری امنیت و دیتاسنتر آلفاتک، ابعاد فنی و پیامدهای این نشت اطلاعاتی عظیم را کالبدشکافی خواهیم کرد.
آناتومی نفوذ؛ شکست مذاکرات و انتشار ۲۳۴ گیگابایت داده
اوایل ماه جاری میلادی، گروه باجافزاری ShinyHunters نام شرکت DentaQuest را به لیست قربانیان در سایت نشت اطلاعات خود (Leak Site) اضافه کرد. تاکتیک این گروه بر پایه فشار روانی و اخاذی استوار است؛ آنها ابتدا دادهها را سرقت کرده و سپس سازمان قربانی را تهدید میکنند که در صورت عدم پرداخت باج (در قالب ارزهای دیجیتال)، اطلاعات محرمانه مشتریان را در اختیار عموم قرار خواهند داد.
هکرها اعلام کردند که مذاکرات مستقیم آنها با مدیران DentaQuest با شکست مواجه شده است. در واکنش به این توقف مذاکرات، مهاجمان تهدید خود را عملی کرده و یک آرشیو عظیم با حجم ۲۳۴ گیگابایت از دادههای فشردهسازی شده را در انجمنهای هکری دارکوب منتشر کردند. این حجم از داده خام متنی، نشاندهنده دسترسی طولانیمدت و عمیق مهاجمان به سرورهای پایگاه داده (Database Servers) این شرکت است.
واکنش رسمی DentaQuest؛ تایید حادثه سایبری در کنار حفظ آپتایم
مدت کوتاهی پس از انتشار دادهها در فضای تاریک اینترنت، DentaQuest سکوت خود را شکست و با انتشار یک بیانیه رسمی، صحت ادعای گروه ShinyHunters را تایید کرد. مدیریت بحران در این شرکت بر حفظ تداوم کسبوکار متمرکز بوده است. در بیانیه رسمی این شرکت آمده است:
«شرکت DentaQuest در حال مدیریت فعال یک حادثه امنیت سایبری است که شامل دسترسی غیرمجاز به بخش محدودی از شبکه ما میشود. پس از کشف حادثه اولیه، ما فوراً برای ایمنسازی محیط، مهار حمله و کاهش تهدید وارد عمل شدیم. سیستمهای ما کاملاً عملیاتی باقی ماندهاند و ما با کمترین اختلال ممکن به خدمترسانی به مشتریان خود ادامه میدهیم.»
این شرکت همچنین اعلام کرد که کارشناسان جرمشناسی دیجیتال (Digital Forensics) شخص ثالث را برای بررسی دقیق مسیرهای نفوذ (IOCs) به کار گرفته و نهادهای مجری قانون را نیز در جریان قرار داده است. با این حال، پارادوکس ماجرا اینجاست که در حالی که شرکت اعلام کرده «در حال بررسی احتمال سرقت دادههاست»، تمام این اطلاعات پیشتر توسط هکرها در اینترنت منتشر شده بود!
تحلیل پلتفرم Have I Been Pwned؛ افشای اطلاعات ۲.۶ میلیون کاربر
در حالی که تیمهای امنیتی داخلی DentaQuest در حال بررسی عمق فاجعه بودند، پلتفرم معتبر Have I Been Pwned (HIBP) که به تحلیل نشتهای اطلاعاتی میپردازد، کار را برای آنها تمام کرد. تحلیلگران این پلتفرم با استخراج و بررسی مجموعه دادههای فاششده، تایید کردند که این آرشیو حاوی رکوردهای دقیق ۲.۶ میلیون حساب کاربری منحصربهفرد است.
نکته قابل تامل در گزارش HIBP این است که تقریباً دوسوم (حدود ۶۶ درصد) از رکوردهای کشفشده در این پایگاه داده، پیش از این نیز در نشتهای اطلاعاتی سایر شرکتها در اینترنت افشا شده بودند. این موضوع پدیده “خستگی از نقض اطلاعات” (Breach Fatigue) در میان کاربران اینترنتی را به خوبی توجیه میکند.
جدول طبقهبندی اطلاعات فاششده و سطح ریسک امنیتی
دادههای سرقتشده ترکیبی از اطلاعات هویتی (PII) و اطلاعات محافظتشده بهداشتی (PHI) هستند که امکان اجرای حملات مهندسی اجتماعی و سرقت هویت را برای هکرها به شدت آسان میکنند:
| طبقهبندی دادهها | فیلدهای اطلاعاتی افشاشده | سطح ریسک امنیتی | نوع تهدیدات احتمالی برای کاربران |
|---|---|---|---|
| اطلاعات هویتی پایه (PII) | نام و نام خانوادگی، تاریخ تولد (DOB)، جنسیت | متوسط رو به بالا | سوءاستفاده در کمپینهای فیشینگ و ایمیلهای اسپم هدفمند |
| اطلاعات تماس | آدرس ایمیل، شماره تلفنهای شخصی | بالا | حملات Smishing (پیامکی) و دور زدن احراز هویت دومرحلهای مبتنی بر پیامک |
| مدارک شناسایی و دولتی | شناسههای صادرشده توسط دولت (Gov-issued IDs) | بسیار بالا (بحرانی) | کلاهبرداری مالی، افتتاح حسابهای بانکی جعلی و سرقت هویت کامل (Identity Theft) |
| اطلاعات پزشکی (PHI) | شماره پرونده و اطلاعات بیمه درمانی دندانپزشکی | بسیار بالا (بحرانی) | کلاهبرداری در خدمات درمانی و دریافت دارو یا خدمات با هویت قربانی |
تحلیل اختصاصی آلفاتک: چرا دادههای پزشکی ارزشمندتر از کارتهای اعتباری هستند؟
در بازارهای زیرزمینی دارکوب، قیمت یک پرونده کامل پزشکی (PHI) غالباً بین ۱۰ تا ۵۰ برابر گرانتر از اطلاعات یک کارت اعتباری (Credit Card) به فروش میرسد. دلیل این امر در ماندگاری دادهها نهفته است. اگر کارت بانکی شما هک شود، با یک تماس تلفنی ساده میتوانید آن را مسدود کرده و کارت جدیدی دریافت کنید؛ این کار ارزش داده سرقتشده را فوراً به صفر میرساند. اما شما نمیتوانید تاریخ تولد، سوابق بیماری، شماره ملی یا اطلاعات ژنتیکی خود را تغییر دهید!
حمله به DentaQuest و افشای اطلاعات ۲.۶ میلیون نفر، نشان میدهد که هکرها (به ویژه گروههایی مانند ShinyHunters) از استخراج کارتهای بانکی فاصله گرفته و به سمت سرقت هویتهای غیرقابل تغییر حرکت کردهاند. سازمانهای حوزه سلامت باید معماری شبکه خود را بر پایه مدل اعتماد صفر (Zero Trust) بنا کنند و رمزنگاری دادهها در حالت استراحت (Data at Rest) را در بالاترین لایههای دیتابیس خود اجباری سازند.
