A principios de esta semana se produjo un ataque masivo contra los sistemas de Community Health Systems, un grupo de 206 hospitales que trabaja en Estados Unidos, que supuso el robo de datos personales y privados de alrededor de 4.5 millones de usuarios. Aunque en el momento de la detección no se supieron los detalles, un estudio en profundidad comienza a arrojar luz sobre el asunto.
Los piratas informáticos que atacaron los sistemas de Community Health Systems se aprovecharon de la vulnerabilidad Heartbleed para conseguir los datos de los usuarios, con los cuales, consiguieron tener acceso a la VPN de la red y con ello a los servidores completos de datos.
Según los informes publicados, el ataque se realizó entre abril y junio de este mismo año, período en el que esta vulnerabilidad tuvo mayor actividad y era más peligrosa al ser del tipo 0-day. 0-day es el nombre que se asigna a una vulnerabilidad durante el período de tiempo que transcurre entre su descubrimiento y el lanzamiento y aplicación del parche en los sistemas afectados. Los sistemas Juniper de Community Health Systems se actualizaron tan pronto como el parche estuvo disponible, pero los piratas informáticos disponían ya de los credenciales, por lo que el acceso a la VPN fue vulnerado.
La culpa del robo de información se reparte entre la compañía y la empresa encargada de la seguridad. Aunque Heartbleed no es responsabilidad suya, los encargados de seguridad deberían haber comprobado que ningún pirata informático se había aprovechado de dicha vulnerabilidad y mantener un control mucho más estricto de acceso a la red VPN.
Por el momento no hay ya nada más que hacer. El acceso a la VPN ha sido cambiado y Heartbleed ya no está disponible en dichos sistemas, sin embargo, los datos de los ciudadanos están en manos de los piratas informáticos, probablemente a la venta dentro de alguna tienda en la darknet. Sin duda una víctima más de Heartbleed, la mayor vulnerabilidad que ha expuesto la seguridad de prácticamente todo Internet.
¿De quién crees que es la culpa del robo masivo de información?
Fuente: Help Net Security