A betegek társadalombiztosítási számai kompromittáltak egy MU egészségügyi adatsértés miatt
Az emberek hajlamosak elfelejteni, hogy az adatok megsértésének felfedezése után a legfontosabb feladat a felhasználó magánéletének védelme. Ehelyett gyakran arra összpontosítanak, hogy kiderítsék, ki vagy mi a felelős az eseményért. Vegyük egy pillanatra ezt a megközelítést, és nézzük meg, ki felelős a jogsértésért, amelyet a Missouri Health Care (MU Health Care) a múlt héten jelentett.
Table of Contents
A MU Health Care betegeinek adatait veszélyeztetett e-mail fiókokon keresztül lehetett elérni
Körülbelül nyolc hónappal ezelőtt nyilvánvalóvá vált, hogy a Missouri Egyetem egyes, a MU Health Care-hez kapcsolódó hallgatóinak e-mail fiókjai veszélybe kerültek. Az "illetéktelen személy" először 2019. szeptember 19-én tört be, és bár a MU Health Care megtudta a szeptember 21-i támadást, a jogsértést szeptember 26-ig nem zárják le.
A hallgatók postafiókjaiban a számítógépes bűnözők meglehetősen sok személyes információt találtak a MU Health Care betegek körében, ideértve a neveket, a születési időket, az egészségbiztosítási adatokat, a "korlátozott" kezelési és klinikai információkat, valamint a "kis számú" társadalombiztosítást. számokat. A támadást hosszú vizsgálat követte, amelynek során a MU Health Care sikerült azonosítani az összes érintett beteget. Valamilyen okból azonban a bejelentésben nem említik, hogy hány embernek tette közzé információit.
MU Health Care: Hitelesítő adatokkal töltött támadás volt
A MU Health Care bejelentése gyorsan rámutatott arra, hogy a hackereknek sikerült betörni az e-mail fiókokba a hallgatók rossz jelszókezelési képességei miatt. A sajtóközlemény szerint harmadik fél szolgálatában volt számláik, amelyeket megsértették. Az említett szolgáltatásnál azonos felhasználóneveket és jelszavakat használták, mint az e-maileket védő személyek, és a hackerek ezt kihasználták. Más szavakkal, hitelesítő adatokkal töltött támadás sújtotta őket.
A MU Health Care megpróbálja elmagyarázni, hogy rendszereit nem veszélyeztették, és hogy a megsértés egyetlen oka a hallgatók jelszó újbóli felhasználása. Valójában a hitelesítő adatok kitöltésének egész koncepcióját lehetővé teszi az a tény, hogy az emberek azonos jelszavakat használnak sok különböző szolgáltatáshoz, és ez csak a látszólag végtelen támadások sorának legújabb darabja, amely megmutatja, hogy ennek milyen súlyos következményei lehetnek.
Sokak arra a következtetésre juthatnak, hogy a jogsértésért csak a hallgatók felelősek. Egy kis kontextus azonban megváltoztathatja véleményüket.
Ez nem az első mulasztás a MU Health Care számára
2019 áprilisában, néhány hónappal az eset előtt, a MU Health Care nagyon hasonló jogsértést szenvedett. Ebben az esetben a szervezet néhány alkalmazottjának e-mail fiókjai veszélybe kerültek, és benne a hackerek több mint 14 ezer beteg személyes adatait találták meg. Amikor néhány hónappal később bejelentette a támadást, a MU Health Care nem tudta elmondani, hogyan sikerült betörni a bűnözőkbe, és azt sem mondta, hogy milyen intézkedéseket hoz a betegek védelme érdekében a hasonló támadásokkal szemben.
Logikusnak tűnik kétfaktoros hitelesítés (2FA) bevezetése kapcsolt e-mail fiókokhoz az ilyen jogsértés következményeként. Néhányan azt is mondhatják, hogy a végrehajtása az első lépés a betegek adatainak jobb védelme felé. Sajnos a MU Health Care úgy döntött, hogy nem teszi meg, ami szégyen, mert a 2019. szeptemberi támadást a pályáin megállította.