Утечка в Oracle Health скомпрометировала данные клиентов в американских клиниках

Утечка в Oracle Health затронет многочисленные учреждения американской системы здравоохранения и госпитали, ведь злоумышленник украл данные клиентов с устаревших серверов. Злоумышленник «Andrew» вымогает деньги у пострадавших госпиталей. Преступник требует миллионы долларов в криптовалюте для предотвращения слива данных или продажи украденных данных. Он создал сайты в clearnet* об утечке, чтобы оказать давление на госпитали.

Oracle Health публично еще не объявила об инциденте, но уже отправила письма клиентам, которые пострадали из-за утечки.
Oracle Health ране известная как Cerner – SaaS компания в секторе здравоохранения. Компания предлагает такие продукты как Electronic Health Records (EHR) и системы управления бизнес-процессами в госпиталях и медицинских учреждениях. Oracle приобрела Cerner в 2022 году и интегрировала ее в Oracle Health, а ИИ системы компании мигрировали на Oracle Cloud.

Издание BleepingComputer ознакомилось с письмами пострадавшим клиентам. Oracle Health заявила, что узнала о взломе устаревших серверов Cerner 20 февраля 2025 года.

«Настоящим мы сообщаем вам, что 20 февраля 2025 года мы узнали об инциденте кибератаки, в результате которого был получен незаконный доступ к некоторым Вашим данным на серверах Cerner. Эти данные хранились на устаревших серверах, которые не мигрировали на Oracle Cloud».

Oracle заявила, что злоумышленник использовал скомпрометированные данные клиентов для доступа к серверам в районе 22 января 2025 года и скопировал данные на удаленный сервер. Украденные данные «могут» включать в себя данные пациентов из электронных медицинских карт.

Однако, многочисленные источники сообщили изданию BleepingComputer, что есть подтверждения кражи персональных данных клиентов во время атаки.

Oracle Health также сообщила госпиталям, чтобы они не информировали пациентов об инцидент сами, и что госпитали обязаны определить, является ли кража персональных данных нарушением Закона о мобильности и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act или HIPAA) и обязаны ли они уведомлять клиентов об утечке.

Компания заявила, что поможет идентифицировать пострадавших пациентов и предоставит образец уведомления.

Неизвестно, какая цель кибератаки: вымогательство или просто кража данных.

Также непонятно, как учетные данные клиентов были использованы для взлома нескольких организаций.

Изданию BleepingComputer стало известно, что у пострадавших госпиталей вымогает деньги некий злоумышленник под именем «Andrew». Преступник не заявил о своей принадлежности к каким-либо известным преступным группам.

Злоумышленник требует миллионы долларов в криптовалюте для предотвращения слива данных или продаже украденных данных и создал сайты в clearnet* об утечке, чтобы оказать давление на госпитали.

* clearnet – так обозначается общедоступный интернет в противовес даркнету.

BleepingComputer обратилось к Oracle Health за комментариями 4 марта, но не получило ответа.

Утечка данных и взлом стали кошмаром для пострадавших организаций, но BleepingComputer считает, что молчание и скрытность Oracle разочаровывает.

Источники издания BleepingComputer сообщают, что формальная коммуникация была отправлена не на фирменном бланке компании, а на обычных белых листах. Компания официально не признает утечку.

Формальные сообщения даже не подписаны Seema Verma, исполнительным вице-президентом и генеральным директором Oracle Health.

Более того, Oracle Health сказала клиентам общаться с ее службой информационной безопасности (Chief Information Security Office (CISO)) только по телефону, а не по электронной почте. Госпитали остаются вообще без какой-либо документации или руководства, что делать в случае утечки.

Хотя Oracle Health согласилась оплатить услуги мониторинга и поставщика почтовой службы за уведомление клиентов, BleepingComputer узнала, что компания не собирается отправлять уведомления от лица пострадавших госпиталей.

Информация о взломе стала известна после отчетов об утечке в федеральные SSO login сервера на Oracle Cloud, где злоумышленник объявил, что украл LDAP* данные аутентификации 6 миллионов человек. В качестве доказательства атаки злоумышленник поделился архивированными копиями файла, загруженного на один из login серверов Oracle, которые содержали адреса электронной почты.

* LDAP или Lightweight Directory Access Protocol является открытым протоколом, используемым для хранения и получения данных из каталога с иерархической структурой. Обычно используемый для хранения информации об организации, ее активах и пользователях, LDAP является гибким решением для определения любого типа сущностей и их свойств.

Хотя Oracle отрицает, что пострадал от взлома, источники BleepingComputer подтвердили, что украденные данные клиентов – настоящие.

Ссылка на статью: