Foto: 123RF
Dat meldt Bloomberg woensdag op basis van beveiligingsbedrijf Trustedsec. De FBI en de zorginstelling zelf doen geen uitspraken over de oorzaak van het lek.
De hackers hadden toegang tot de burgerservicenummers (social security number), adressen, telefoonnummers en geboortedatums van de patiënten. Community Health Systems exploiteert 206 ziekenhuizen verspreid over 29 Amerikaanse staten.
Volgens Trusedsec gaat het om de eerste grote aanval die gebruikmaakt van het lek. Er zijn wel inbraken bekend waarbij gebruik werd gemaakt van Heartbleed, maar niet op deze schaal. In de meeste gevallen is er ook geen aanleiding om te denken dat er daadwerkelijk gegevens zijn gestolen. Dit keer lijkt dat dus wel het geval.
De vermeende daders zijn berucht voor het stelen van intellectueel eigendom van zorginstellingen, maar het stelen van klantengegevens wordt door experts als ongebruikelijk gezien. De gegevens zouden gebruikt zijn om in te loggen op het interne netwerk van Community Health Systems.
OpenSSL
Heartbleed is een in april ontdekte fout in OpenSSL, een manier om beveiligde verbindingen naar websites mogelijk te maken. Door de fout konden websites kleine stukjes vertrouwelijke informatie prijsgeven aan hackers.
Toen het lek voor het eerst werd ontdekt waren er volgens cybersecuritybedrijf Errata zo’n 600.000 servers gevoelig voor het lek. Eind juni zou dat aantal op zo’n 300.000 liggen, wat er volgens het bedrijf op wijst dat dat er inmiddels door veel websitebeheerders niet meer wordt geprobeerd om maatregelen te treffen.
Heartbleed: wat je moet weten over het ‘grootste internetlek ooit’