Kamis, Oktober 10, 2024

blog.covidggn.com

Selalu Mengupdate Berita Terbaru

Peretas pemerintah mencoba memecahkan HealthCare.gov

keren989 September 23, 2014 in journey - 4 Minutes
Peretas pemerintah mencoba memecahkan HealthCare.gov

WASHINGTON (AP) — Badan pengawas milik pemerintah mencoba masuk ke HealthCare.gov awal tahun ini dan menemukan apa yang mereka sebut sebagai kerentanan kritis — namun mereka juga lolos dengan menghormati beberapa fitur keamanan situs asuransi kesehatan.

Itulah salah satu kesimpulan dari laporan yang dirilis Selasa oleh inspektur jenderal Departemen Kesehatan dan Layanan Kemanusiaan, yang berfokus pada penipuan layanan kesehatan.

Laporan tersebut merupakan tinjauan beragam terhadap situs federal yang berfungsi sebagai portal rencana kesehatan yang disubsidi pembayar pajak bagi jutaan orang Amerika. Musim pendaftaran terbuka dimulai 15 November.

Apa yang disebut sebagai “topi putih” atau peretas etis dari kantor inspektur jenderal menemukan kelemahan, namun ketika mereka mencoba mengeksploitasinya seperti yang dilakukan peretas jahat, mereka diblokir oleh pertahanan sistem.

HealthCare.gov telah memberikan peringatan dini mengenai upaya peretasan tersebut – dengan rentang tanggal, namun bukan waktu yang spesifik. Juru bicara HHS Kevin Griffis mengatakan badan tersebut tidak mengambil tindakan pencegahan tambahan selama periode tersebut.

Laporan ini muncul setelah pelanggaran besar-besaran di toko-toko Home Depot, yang mempengaruhi 56 juta kartu kredit dan debit. Kantor inspektur jenderal merilis versi publik yang merangkum temuan-temuan rinci yang diberikan kepada pemerintahan Obama.

Laporan ini menyimpulkan bahwa lebih banyak pekerjaan perlu dilakukan untuk memperkuat keamanan. Pekan lalu, Kantor Akuntabilitas Pemerintah Kongres mengeluarkan kesimpulan serupa setelah melakukan tinjauannya sendiri.

Inspektur jenderal menemukan bahwa pemerintah “telah mengambil tindakan untuk mengurangi risiko keamanan yang terkait dengan sistem HealthCare.gov” dan informasi pribadi konsumen.

Namun auditor mengatakan mereka “tetap khawatir” tentang penggunaan teknologi enkripsi yang tidak disertifikasi untuk memenuhi standar pemerintah tertentu. Enkripsi mengacu pada pengkodean data yang dikirim bolak-balik antara konsumen dan HealthCare.gov agar lebih aman.

Dalam tanggapan formalnya, pemerintah mengatakan telah mengambil langkah lain untuk menyelesaikan masalah enkripsi.

Kantor inspektur jenderal mencoba meretas HealthCare.gov pada bulan April dan Mei. Para ahli menggunakan teknik yang disebut “pemindaian kerentanan” dan juga menjalankan simulasi serangan.

“Pemindai mensimulasikan serangan jahat dari luar pada sistem dan dapat… mengidentifikasi kerentanan yang dapat membahayakan keamanan sistem,” jelas laporan itu. “Pemindai menggunakan teknik yang sama seperti peretas, sehingga pemindai menguji keamanan dari sudut pandang luar.”

HHS sendiri juga rutin melakukan pemindaian serupa sebagai bagian dari program keamanannya sendiri.

Peretas kantor inspektur jenderal menemukan satu kerentanan “kritis”, yang digambarkan sebagai kelemahan yang memungkinkan penyerang mengambil alih sistem dan menjalankan perintah, atau mengunduh dan mengubah informasi.

Namun kantor tersebut mengatakan bahwa ketika para ahli “topi putih” mencoba meniru apa yang mungkin dilakukan oleh peretas jahat selanjutnya, mereka diblokir oleh pertahanan sistem.

Secara terpisah, tinjauan tersebut juga menemukan dua kerentanan kritis dalam database yang mendukung situs tersebut.

Deskripsi spesifik mengenai kelemahan tersebut belum dirilis, namun tampaknya tidak ada yang dieksploitasi oleh peretas.

HealthCare.gov melayani 36 negara bagian, sementara negara bagian lainnya mengoperasikan situs pendaftaran mereka sendiri.

Situs web federal mengalami banyak masalah teknis ketika diluncurkan pada musim gugur lalu dan selama berminggu-minggu tidak dapat digunakan oleh sebagian besar konsumen.

Pada saat itu, pakar teknis dalam HHS khawatir bahwa pengujian keamanan penuh tidak dapat diselesaikan karena sistem mengalami begitu banyak perubahan pada menit-menit terakhir. Namun demikian, Administrator Medicare Marilyn Tavenner mengeluarkan izin keamanan untuk situs tersebut selama enam bulan, terkait dengan rencana tindakan untuk mengurangi risiko.

HealthCare.gov diretas pada musim panas ini, namun pemerintah mengatakan tidak ada informasi konsumen yang dicuri. Sebaliknya, peretas memasang perangkat lunak berbahaya yang dapat digunakan untuk melancarkan serangan ke situs web lain.

“Kami tidak mengalami serangan jahat terhadap situs yang mengakibatkan pencurian identitas pribadi,” kata Tavenner kepada Kongres pekan lalu.

Kantor inspektur jenderal juga menyelidiki keamanan dua situs layanan kesehatan yang dikelola negara, Kentucky Exchange dan Small Business Portal di New Mexico.

Ditemukan bahwa Kentucky, yang dipandang sebagai model nasional, cukup melindungi informasi pribadi konsumen. Namun ada beberapa kelemahan pada siapa yang memiliki akses ke sistem.

Peretasan “topi putih” terhadap situs web New Mexico mengungkapkan 64 kerentanan.

Kantor tersebut mengatakan akan terus memantau keamanan di HealthCare.gov dan situs web negara.

___

On line:

Laporan Inspektur Jenderal HHS: http://oig.hhs.gov/oas/reports/region1/181430011.pdf

Keluaran Sydney

Related Posts

Penutupan strip draf NFL sebelum Bellagio dimulai
Penutupan strip draf NFL sebelum Bellagio dimulai
April 28, 2022
Ron DeSantis berkampanye untuk Adam Laxalt di Las Vegas
Ron DeSantis berkampanye untuk Adam Laxalt di Las Vegas
April 28, 2022
Pendapatan pajak mencapai angka rekor, tapi Demokrat ingin lebih | PENGURANGAN
Pendapatan pajak mencapai angka rekor, tapi Demokrat ingin lebih | PENGURANGAN
April 28, 2022

keren989

Learn More →