Gegevens van 30.000 gebruikers zuurstofconcentratoren uitgelekt

Medische apparatuur is steeds vaker verbonden met internet. Dit biedt allerlei voordelen, maar maakt het ook van essentieel belang deze apparaten en de data die hierop staat afgesloten adequaat af te schermen van onbevoegden. Helaas gaat het wel eens fout, waarvan een recent datalek bij de Amerikaanse fabrikant van draagbare zuurstofconcentratoren Inogen een voorbeeld is. Bij het datalek zijn gegevens van 30.000 klanten in handen van onbevoegden gevallen.

Inogen heeft zelf bij de Amerikaanse Securities and Exchange Commission (SEC) melding gemaakt van het datalek. Een of meerdere aanvallers wisten op 2 januari met behulp van gestolen inloggegevens toegang te verkrijgen tot het e-mailaccount van een werknemer van Inogen, waarna zij tot 14 maart toegang tot dit account. De aanvallers konden dus bijna twee maanden lang ongehinderd hun gang gaan. Hoe zij de inloggegevens van de medewerkers in handen hebben weten te krijgen is niet bekend. 

Identificatienummers, typenummers en zorgverzekering

Het Amerikaanse bedrijf heeft het datalek laten onderzoeken door een forensisch bedrijf. Dit onderzoek toont aan dat de aanvaller toegang heeft weten te krijgen tot klantgegevens van Inogen. Onder meer Medicare identificatienummers, informatie over de zorgverzekering van gebruikers en het specifieke type apparaat dat klanten gebruiken zijn uitgelekt. Inogen benadrukt dat medische gegevens, Social Security nummers (de Amerikaanse tegenhanger van het burgerservicenummer) en financiële gegevens niet zijn buitgemaakt. 

Helaas is het niet de eerste keer dat medische apparatuur vatbaar blijkt voor cyberaanvallen. Dit terwijl dergelijke aanvallen verstrekkende gevolgen kunnen hebben. Zo kunnen beveiligingsproblemen kwaadwillenden niet alleen de mogelijkheid geven klantgegevens in handen te krijgen, maar in sommige gevallen ook om medische apparaten te manipuleren. Afhankelijk van het type medische apparaat dat wordt gemanipuleerd kan dit leiden tot veel overlast, lichamelijk letsel of in het ergste geval zelfs dodelijke slachtoffers. 

Pacemaker van St. Jude Medical

Een voorbeeld van een beveiligingslek dat in potentie dodelijke slachtoffers tot gevolg kan hebben is een kwetsbaarheid in pacemakers van de fabrikant Abbott, dat voorheen onder de naam St. Jude Medical actief was. Dit beveiligingsprobleem stelde aanvallers in staat de werking van de pacemaker te beïnvloeden. Zo konden zij de batterij sneller laten leeg lopen, de pacemaker uitschakelen of het ritme van de pacemaker aanpassen. 

Het lek in de pacemakers is naar buiten gebracht door investeringsmaatschappij Muddy Waters en onderzoeksbureau MedSec. De wijze waarop dit is gebeurd heeft veel stof doen opwaaien, aangezien Muddy Waters en MedSec Abbott niet in de gelegenheid hebben gesteld de problemen te verhelpen voordat deze in de openbaarheid werden gebracht. Dit is bij het rapporteren van beveiligingsproblemen gebruikelijk en voorkomt dat het openbaar maken van een kwetsbaarheid de veiligheid van eindgebruikers in gevaar brengt. Ondanks deze discutabele werkwijze zijn de kwetsbaarheden in de pacemakers echter wel ernstig te noemen. 

Geen authentificatie

Het beveiligingsprobleem zit in de Merlin@home-apparaten, die in de woning van patiënten worden geplaatst en met de pacemakers communiceren. Ook sturen de Merlin@home-apparaten gegevens van de pacemakers door naar servers van Abbott. De Merlin@home-apparaten bleken echter zonder authentificatie met pacemakers te kunnen worden verbonden, waardoor ieder Merlin@home-apparaat aan iedere pacemaker kan worden gekoppeld. Wie hierdoor een Merlin@home-apparaat in handen heeft kan hiermee niet alleen zijn eigen pacemaker aansturen, maar ook die van derden. Een Merlin@home-apparaat is onder meer via online marktplaatsen voor enkele tientallen dollars te koop. 

De kwetsbare pacemakers van Abbott worden wereldwijd door honderdduizenden mensen gebruikt. Zo moesten alleen in de Verenigde Staten (VS) al 465.000 patiënten de software van hun pacemaker laten updaten om het beveiligingsprobleem te verhelpen. Er zijn overigens geen gevallen bekend pacemakers die in de praktijk zijn gehackt. 

Kwetsbare medische scanners

Begin dit jaar toonden onderzoekers van de Israëlische Ben-Gurion Universiteit aan dat medische scanners zoals MRI- en CT-scanners vatbaar zijn voor cyberaanvallen. Veel van deze apparaten ontvangen geen beveiligingsupdates, wat in de praktijk betekent dat eigenaren van medische apparaten ontdekte beveiligingsproblemen in deze apparatuur niet kunnen dichten en dus kwetsbaar blijven voor cyberaanvallen. Doordat informatie over dergelijke beveiligingsproblemen eenvoudig op internet gevonden kan worden, maakt dit het voor aanvallers een koud kunstje in te breken op de apparaten. 

Een dergelijke aanval op een medische scanner kan allerlei gevolgen hebben. Zo kunnen aanvallers de stralingsdosis verhogen, scanresultaten manipuleren, de medische scanner digitaal onbereikbaar maken zodat deze niet langer kan worden aangestuurd of het apparaat volledig uitschakelen. In hun onderzoek hebben de onderzoekers overigens ook naar de beveiliging van andere medische systemen gekeken, waaronder informatiesystemen. Veel van deze systemen blijken beveiligingsproblemen te bevatten. CT-scanners blijken de meeste kwetsbaarheden te bevatten van alle onderzochte systemen. Meer informatie over het onderzoek van de Ben-Gurion Universiteit is hier te vinden. 

Auteur: Wouter Hoeffnagel
Bron: Inogen / Securities and Exchange Commission
Bron: Muddy Waters / MedSec
Bron: Ben-Gurion Universiteit
Bron foto: Pixabay / methodshop