Οι αριθμοί κοινωνικής ασφάλισης των ασθενών έχουν συμβιβαστεί σε παραβίαση δεδομένων περίθαλψης MU

MU Health Care Data Breach

Οι άνθρωποι τείνουν να ξεχνούν ότι η πιο σημαντική εργασία μετά την ανακάλυψη παραβίασης δεδομένων είναι η προστασία του απορρήτου του χρήστη. Αντ 'αυτού, συχνά επικεντρώνονται στο να βρουν ποιος ή τι φταίει για το περιστατικό. Ας ακολουθήσουμε αυτήν την προσέγγιση για λίγο και να δούμε ποιος είναι υπεύθυνος για την παραβίαση που ανέφερε η Missouri Health Care (MU Health Care) την περασμένη εβδομάδα.

Τα δεδομένα των ασθενών της MU Health Care ήταν προσβάσιμα μέσω παραβιασμένων λογαριασμών email

Πριν από περίπου οκτώ μήνες, έγινε φανερό ότι ορισμένοι φοιτητές του Πανεπιστημίου του Μιζούρι που ήταν συνδεδεμένοι με το MU Health Care είχαν παραβιάσει τους λογαριασμούς τους μέσω email. Το "μη εξουσιοδοτημένο άτομο" ξέσπασε για πρώτη φορά στις 19 Σεπτεμβρίου 2019 και παρόλο που η MU Health Care έμαθε για την επίθεση στις 21 Σεπτεμβρίου, η παράβαση δεν σφραγίστηκε μέχρι τις 26 Σεπτεμβρίου.

Μέσα στα εισερχόμενα των μαθητών, οι εγκληματίες του κυβερνοχώρου βρήκαν πολλές προσωπικές πληροφορίες που ανήκουν σε ασθενείς με MU Health Care, συμπεριλαμβανομένων ονομάτων, ημερομηνιών γέννησης, δεδομένων ασφάλισης υγείας, "περιορισμένης" θεραπείας και κλινικών πληροφοριών και "μικρός αριθμός" Κοινωνικής Ασφάλισης αριθμοί. Η επίθεση ακολούθησε μια μακρά έρευνα κατά τη διάρκεια της οποίας η MU Health Care κατάφερε να εντοπίσει όλους τους πάσχοντες ασθενείς. Για κάποιο λόγο, ωστόσο, η ανακοίνωση δεν αναφέρει πόσα άτομα είχαν εκτεθεί οι πληροφορίες τους.

MU Health Care: Ήταν μια επιθετική επίθεση γεμίσματος

Η ανακοίνωση της MU Health Care έδειξε γρήγορα ότι οι χάκερ κατάφεραν να εισέλθουν στους λογαριασμούς email λόγω των κακών δεξιοτήτων διαχείρισης κωδικών πρόσβασης των μαθητών. Σύμφωνα με το δελτίο τύπου, είχαν λογαριασμούς σε υπηρεσία τρίτου μέρους που παραβιάστηκε. Στην εν λόγω υπηρεσία, χρησιμοποιούσαν πανομοιότυπα ονόματα χρήστη και κωδικούς πρόσβασης με εκείνα που προστατεύουν τα email τους, και οι χάκερ επωφελήθηκαν από αυτό. Με άλλα λόγια, χτυπήθηκαν από μια επίθεση γέμισης διαπιστευτηρίων.

Η MU Health Care προσπαθεί να εξηγήσει ότι τα συστήματά της δεν έχουν παραβιαστεί και ότι ο μόνος λόγος για την παραβίαση είναι η επαναχρησιμοποίηση των κωδικών πρόσβασης των μαθητών. Πράγματι, ολόκληρη η έννοια της συμπλήρωσης διαπιστευτηρίων καθίσταται δυνατή από το γεγονός ότι οι άνθρωποι χρησιμοποιούν πανομοιότυπους κωδικούς πρόσβασης για πολλές διαφορετικές υπηρεσίες, και αυτό είναι μόνο το τελευταίο μιας φαινομενικά ατελείωτης σειράς επιθέσεων που δείχνουν πόσο άσχημα θα μπορούσαν να είναι οι συνέπειες αυτού.

Πολλοί άνθρωποι μπορεί να καταλήξουν στο συμπέρασμα ότι οι μόνοι που είναι υπεύθυνοι για αυτήν την παραβίαση είναι οι μαθητές. Ωστόσο, ένα μικρό πλαίσιο θα μπορούσε να αλλάξει τη γνώμη τους.

Αυτή δεν είναι η πρώτη παραβίαση του MU Health Care

Τον Απρίλιο του 2019, αρκετούς μήνες πριν από αυτό το περιστατικό, η MU Health Care υπέστη πολύ παρόμοια παραβίαση. Σε αυτήν την περίπτωση, οι λογαριασμοί email ορισμένων από τους υπαλλήλους του οργανισμού διακυβεύτηκαν και μέσα τους, οι χάκερ βρήκαν τα προσωπικά δεδομένα περισσότερων από 14 χιλιάδων ασθενών. Όταν ανακοίνωσε την επίθεση λίγους μήνες αργότερα, η MU Health Care απέτυχε να πει πώς οι εγκληματίες κατάφεραν να εισέλθουν και επίσης δεν μας είπε τι είδους μέτρα λαμβάνει για την προστασία των ασθενών από παρόμοιες επιθέσεις.

Μπορεί να φαίνεται λογικό να εισαχθεί έλεγχος ταυτότητας δύο παραγόντων (2FA) για συνδεδεμένους λογαριασμούς email μετά από μια τέτοια παραβίαση. Κάποιοι μάλιστα λένε ότι η εφαρμογή του είναι το πρώτο βήμα προς την καλύτερη προστασία των δεδομένων των ασθενών. Δυστυχώς, η MU Health Care αποφάσισε να μην το κάνει, γεγονός που είναι κρίμα γιατί θα είχε σταματήσει την επίθεση του Σεπτεμβρίου 2019 στα ίχνη του.

June 15, 2020
Φόρτωση...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.