I numeri di previdenza sociale dei pazienti sono stati compromessi in una violazione dei dati relativi all'assistenza sanitaria
Le persone tendono a dimenticare che il compito più importante dopo aver scoperto una violazione dei dati è proteggere la privacy dell'utente. Invece, si concentrano spesso sul scoprire chi o cosa è la colpa dell'incidente. Prendiamo questo approccio per un momento e vediamo chi è responsabile della violazione segnalata la scorsa settimana dal Missouri Health Care (MU Health Care).
Table of Contents
I dati dei pazienti di MU Health Care erano accessibili tramite account e-mail compromessi
Circa otto mesi fa, è diventato evidente che alcuni studenti dell'Università del Missouri affiliati a MU Health Care avevano avuto un account di posta elettronica compromesso. La "persona non autorizzata" ha fatto irruzione per la prima volta il 19 settembre 2019 e, sebbene MU Health Care abbia appreso dell'attacco del 21 settembre, la violazione non è stata sigillata fino al 26 settembre.
All'interno delle caselle di posta degli studenti, i criminali informatici hanno trovato molte informazioni personali appartenenti ai pazienti della MU Health Care, inclusi nomi, date di nascita, dati dell'assicurazione sanitaria, trattamento "limitato" e informazioni cliniche e "un piccolo numero" di sicurezza sociale numeri. L'attacco è stato seguito da una lunga indagine durante la quale MU Health Care è riuscita a identificare tutti i pazienti colpiti. Per qualche ragione, tuttavia, l'annuncio non menziona quante persone hanno avuto le loro informazioni esposte.
MU Health Care: è stato un attacco di riempimento delle credenziali
L'annuncio di MU Health Care è stato rapido nel sottolineare che gli hacker sono riusciti a entrare negli account di posta elettronica a causa delle scarse capacità di gestione delle password degli studenti. Secondo il comunicato stampa, avevano account presso un servizio di terze parti che è stato violato. Al suddetto servizio, stavano usando nomi utente e password identici a quelli che proteggevano le loro e-mail e gli hacker ne hanno approfittato. In altre parole, sono stati colpiti da un attacco di ripieno di credenziali.
MU Health Care sta cercando di spiegare che i suoi sistemi non sono stati compromessi e che l'unica ragione della violazione è il riutilizzo della password degli studenti. In effetti, l'intero concetto di riempimento delle credenziali è reso possibile dal fatto che le persone usano password identiche per molti servizi diversi, e questa è solo l'ultima di una linea apparentemente infinita di attacchi che mostrano quanto possano essere gravi le conseguenze di ciò.
Molte persone potrebbero saltare alla conclusione che gli unici responsabili di questa violazione sono gli studenti. Un po 'di contesto potrebbe cambiare la loro opinione, però.
Questa non è la prima violazione di MU Health Care
Nell'aprile 2019, diversi mesi prima di questo incidente, MU Health Care ha subito una violazione molto simile. In tal caso, gli account e-mail di alcuni dipendenti dell'organizzazione sono stati compromessi e al loro interno gli hacker hanno trovato i dati personali di oltre 14 mila pazienti. Quando ha annunciato l'attacco qualche mese dopo, MU Health Care non è riuscito a dire come i criminali sono riusciti a entrare, e non ci ha nemmeno detto che tipo di misure sta adottando per proteggere i pazienti da attacchi simili.
Potrebbe sembrare logico introdurre l'autenticazione a due fattori (2FA) per gli account di posta elettronica affiliati a seguito di tale violazione. Qualcuno potrebbe persino dire che applicarlo è il primo passo verso una migliore protezione dei dati dei pazienti. Sfortunatamente, MU Health Care ha deciso di non farlo, il che è un peccato perché avrebbe fermato l'attacco di settembre 2019 sulle sue tracce.
