اطلاعات 4.5 میلیون بیمار آمریکایی از طریق باگ خونریزی قلبی فاش شد.
کارشناسان امنیتی اطلاع دادند هکر ها با بهره گیری از حفره ی امنیتی معروف خون ریزی قلبی، و نفوذ به پایگاه داده ی بیمارستان های تحت نظارت سازمان بهداشت عمومی ایالات متحده موفق شده اند اطلاعات مرتبط به حدود ۴.۵ میلیون بیمار را که از خدمات این بیمارستان ها استفاده می کرده اند را به سرقت ببردند. طبق اطلاعات و آمار منتشر شده این بزرگترین سو استفاده و حمله ی صورت پذیرفته ای است که تا کنون بر مبنای رخنه ی امنیتی مذکور شکل گرفته.
دیوید کندی، رئیس اجرایی TrustedSec، در همین رابطه به رویترز گفته است این هکرها از رخنه ی امنیتی خون ریزی قلبی که در حوالی ماه آوریل کشف گردیده، و با بهره گیری از ضعف تجهیزات تولید شده توسط شرکت Juniper Networks توانسته اند به سیستم های مورد اشاره نفوذ و اطلاعات بیمارن را سرقت نمایند.
کندی می افزاید چندین منبع مختلف که در رابطه با تحقیقات مرتبط به این حمله فعالیت داشته اند، تائید نموده اند باگ خون ریزی قلبی که در لفظ رایج از آن با عنوان Heartbleed یاد می شود عامل دسترسی هکرها به سیستم ها و اطلاعات مذکور بوده است.
سازمان بهداشت عمومی نیز در روز دوشنبه اعلام کرده است این حمله از جایی در کشور چین سازماندهی گشته و کندی در همین رابطه توضیح داده است که اپراتورهای بیمارستان برای فراهم کردن دسترسی ریموت کارمندان از طریق شبکه های مجازی خصوصی یا همان VPN، از تجهیزات متعلق به شرکت Juniper Networks استفاده کرده اند. هکرها نیز از ضعف موجود در این تجهیزات استفاده نموده و با کمک یک اعتبارنامه ی سرقت شده ی SSL توانسته اند به عنوان یکی از کارمندان وارد شبکه شوند.
آنها پس از ورود به شبکه راه خود را به پایگاه داده ای حاوی اطلاعات مرتبط به بیماران باز نموده و سپس اطلاعات مختلف متعلق به آنها& از جمله سوابق پزشکی و میلیون ها شماره ی امنیت ملی را به سرقت برده اند.
خون ریزی قلبی باگ بسیار خطرناکی است که در رمز نگاری پروتکل امنیتی OpenSSL موجود بوده، و این پروتکل به صورت گسترده جهت ایمن سازی وب سایت ها، محصولات تکنولوژیک همانند موبایل ها، نرم افزارهای مرتبط به دیتا سنترها و تجهیزات ارتباطی و مخابراتی مورد استفاده قرار می گیرد. این باگ باعث ضعف امنیتی بسیار بزرگی در سیستم های مختلف شده و به هکرها امکان حمله بدون بر جای گذاشتن ردپا از خود را می دهد.
سازمان بهداشت عمومی که یکی از بزرگترین گروه های بیمارستانی را داراست می گوید اطلاعات به سرقت رفته حاوی اسامی بیماران، آدرس، تاریخ تولد، شماره ی تماس و شماره ی امنیت ملی آنها بوده، که به منظور دریافت سرویس از پزشکان تحت نظارت این سازمان در پایگاه داده ی تحت حمله به ثبت رسیده بوده اند.
تا کنون سخنگویان سازمان بهداشت عمومی توضیحات بیشتری را در این رابطه ارائه نداده اند و از جانب شرکت Juniper نیز صحبتی در این رابطه نشده است. پیش از این یک آژانس جمع آوری مالیات در کانادا نیز اعلام کرده بود اطلاعات خصوصی متعلق به ۹۰۰ نفر که در پایگاه داده ی این آژانس به ثبت رسیده بودند با استفاده از باگ خونریزی قلبی در ماه آوریل مورد سو استفاده قرار گرفته اند.
منبع :
http://www.businessinsider.com/r-us-hospital-breach-biggest-yet-to-exploit-heartbleed-bug-expert-2014-8
www.digiato.com
نویسنده: امیرحسین قناویزی
