Patientenes sociale sikkerhedsnumre er blevet kompromitteret i forbindelse med en MU-databrug for sundhedsvæsenets data

MU Health Care Data Breach

Folk har en tendens til at glemme, at den vigtigste opgave efter at have opdaget et dataovertrædelse er at beskytte brugerens privatliv. I stedet fokuserer de ofte på at finde ud af, hvem eller hvad der er skylden for hændelsen. Lad os tage denne tilgang et øjeblik og se, hvem der er ansvarlig for den overtrædelse, som Missouri Health Care (MU Health Care) rapporterede i sidste uge.

MU Health Care-patienters data blev adgang via kompromitterede e-mail-konti

For omkring otte måneder siden viste det sig, at nogle studerende fra University of Missouri tilknyttet MU Health Care havde fået deres e-mail-konti kompromitteret. Den "uautoriserede person" brød først ind den 19. september 2019, og selvom MU Health Care fik at vide om angrebet den 21. september, blev bruddet ikke forseglet før den 26. september.

Inde i de studerendes indbakke fandt cyberkriminelle en hel del personlige oplysninger, der tilhørte MU Health Care-patienter, herunder navne, fødselsdato, sundhedsforsikringsdata, "begrænset" behandling og klinisk information og "et lille antal" Social Security numre. Angrebet blev efterfulgt af en lang undersøgelse, hvor MU Health Care formåede at identificere alle berørte patienter. Af en eller anden grund er det imidlertid ikke muligt at nævne, hvor mange mennesker, deres oplysninger blev udsat for.

MU Health Care: Det var et legitimt udstoppningsangreb

MU Health Cares meddelelse var hurtig til at påpege, at hackerne formåede at bryde ind på e-mail-konti på grund af de studerendes dårlige adgangskodehåndteringsevner. Ifølge pressemeddelelsen havde de konti hos en tredjepartstjeneste, der blev brudt. På den nævnte service brugte de identiske brugernavne og adgangskoder til dem, der beskyttede deres e-mails, og hackerne drage fordel af dette. Med andre ord blev de ramt af et legitimationsudstoppningsangreb.

MU Health Care forsøger at forklare, at dets systemer ikke blev kompromitteret, og at den eneste grund til krænkelsen er elevernes adgangskodegenbrug. Faktisk er hele konceptet med legitimationsstopning muliggjort af det faktum, at folk bruger identiske adgangskoder til mange forskellige tjenester, og dette er bare det seneste af en tilsyneladende uendelig række angreb, der viser, hvor dårlige konsekvenserne af dette kunne være.

Mange mennesker springer måske til den konklusion, at de eneste, der er ansvarlige for denne overtrædelse, er studerende. En smule kontekst kan dog ændre deres mening.

Dette er ikke det første brud for MU Health Care

I april 2019, flere måneder før denne hændelse, led MU Health Care en meget lignende overtrædelse. I dette tilfælde blev e-mail-konti for nogle af organisationens ansatte kompromitteret, og inde i dem fandt hackerne de personlige data fra mere end 14 tusind patienter. Da det meddelte angrebet få måneder senere, kunne MU Health Care ikke sige, hvordan de kriminelle formåede at bryde ind, og det fortalte os heller ikke, hvilken slags foranstaltninger den træffer for at beskytte patienter mod lignende angreb.

Det kan virke logisk at introducere tofaktorautentisering (2FA) for tilknyttede e-mail-konti i kølvandet på en sådan overtrædelse. Nogle vil måske endda sige, at håndhævelse af det er det første skridt mod bedre beskyttelse af patienternes data. Desværre besluttede MU Health Care ikke at gøre det, hvilket er en skam, fordi det ville have stoppet angrebet i september 2019 i dens spor.

June 15, 2020
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.