Oracle Health-databrud kompromitterer patientoplysninger
Oracle Health, tidligere kendt som Cerner, er blevet ramt af et sikkerhedsbrud, hvor trusselsaktører har fået adgang til og stjålet patientdata fra ældre servere. Angrebet har påvirket flere hospitaler og sundhedsorganisationer i USA. Det skriver Bleeping Computer.
Brud via kompromitterede legitimationsoplysninger
Oracle Health blev angiveligt opmærksom på sikkerhedsbruddet den 20. februar 2025, da virksomheden identificerede uautoriseret adgang til ældre Cerner-servere, der endnu ikke var blevet migreret til Oracle Cloud. Ifølge en meddelelse sendt til de berørte kunder blev angrebet udført ved hjælp af kompromitterede kundekontooplysninger. Det gav gav trusselsaktører adgang til at kopiere data til en ekstern server.
Bleeping Computer skriver i sin artikel, der blev publiceret fredag eftermiddag dansk tid, at det præcise omfang af de stjålne data er stadig uklart, men ifølge kilder bekræftes det, at patientoplysninger fra elektroniske sundhedsjournaler er blevet kompromitteret. Det vides endnu ikke, om angrebet også involverede ransomware, eller om det udelukkende var et datatyveri.
En stinker
Oracles håndtering af sagen tyder på, at der er tale om en stinker.
Oracle Health har informeret de berørte hospitaler om bruddet, men understreger, at det er hospitalernes eget ansvar at vurdere, om angrebet udgør en overtrædelse af HIPAA-lovgivningen (Health Insurance Portability and Accountability Act). Dvs. at hospitalerne skal selv skal afgøre, om de er forpligtet til at underrette de berørte patienter.
Oracle Health tilbyder at identificere de berørte personer og levere skabeloner til underretninger, men virksomheden vil ikke stå for den direkte kommunikation til patienterne. Oracle Health dog accepteret at dække omkostningerne til kreditovervågningstjenester og den forsendelsesvirksomhed, der skal håndtere patientnotifikationerne.
Meddelelser uden officielt logo fra Oracle
Flere berørte hospitaler har udtrykt stor frustration over Oracle Healths håndtering af hændelsen. Ifølge kilder er alle officielle meddelelser sendt uden Oracle Healths brevpapir, hvilket skaber usikkerhed om autenticiteten af kommunikationen. Desuden har Oracle Health angiveligt nægtet at give skriftlige rapporter og i stedet instrueret kunderne i at kommunikere med virksomhedens CISO udelukkende via telefon.
Manglen på skriftlig dokumentation gør det svært for hospitalerne at finde ud af, hvordan de skal håndtere bruddet internt og eksternt, hedder det. For at det ikke skal være løgn har flere kilder rapporteret ifølge Bleeping Computers research, at hospitalerne bliver udsat for afpresning af en trusselsaktør ved navn "Andrew", som kræver store summer i kryptovaluta for ikke at offentliggøre eller sælge de stjålne data. Der fiskes i rørte vande.
To sager på en uge
Bruddet hos Oracle Health kommer efter sidste uges omtale af den påståede kompromittering af Oracle Clouds federerede SSO-loginservere, hvor en trusselsaktør hævdede at have stjålet LDAP-autentifikationsdata for seks millioner brugere. Selvom Oracle har benægtet dette angreb, er der ifølge kilder set eksempler på legitime, stjålne data.
Man kan godt hævde, at de to sager har visse berøringsflader, da de to sager hører ind under samme infrastrukturløsning. I denne sag har der været kompromitteret reelle data fra Oracle Cloud, mens sagen fra sidste uge vedrørte påståede testdata.
Helt bund i sagerne kan man ikke påstå, at der er endnu.