患者の社会保障番号はMUヘルスケアデータ違反で侵害されています

人々は、データ侵害を発見した後の最も重要なタスクはユーザーのプライバシーを保護することであることを忘れがちです。その代わり、彼らは多くの場合、事件の責任を負うべき人やものを見つけることに焦点を当てています。このアプローチを少し見て、先週ミズーリヘルスケア（MU Health Care）が報告した違反の責任者を確認しましょう。

MU Health Careの患者のデータは、侵害されたメールアカウントを介してアクセスされました

約8か月前に、MU Health Careに所属するミズーリ大学の一部の学生がメールアカウントが侵害されたことが明らかになりました。 「無許可の個人」は、2019年9月19日に最初に侵入し、MU Health Careは9月21日に攻撃について知りましたが、侵入は9月26日まで封印されませんでした。

サイバー犯罪者は、学生の受信トレイ内で、名前、生年月日、健康保険データ、「限定された」治療と臨床情報、および「少数」の社会保障など、MUヘルスケア患者に属する非常に多くの個人情報を見つけました番号。攻撃の後には長い調査が続き、その間、MU Health Careは影響を受けたすべての患者を特定することができました。しかし、何らかの理由で、この発表では何人の人々が情報を公開したかについて言及していません。

MU Health Care：クレデンシャルの詰め込み攻撃でした

MU Health Careの発表は、学生のパスワード管理スキルが低いため、ハッカーがメールアカウントに侵入できたことをすぐに指摘しました。プレスリリースによると、彼らは違反したサードパーティのサービスにアカウントを持っていました。このサービスでは、彼らはメールを保護するユーザーと同じユーザー名とパスワードを使用しており、ハッカーはこれを利用しました。つまり、 クレデンシャルのスタッフィング攻撃に見舞われました 。

MU Health Careは、システムが危険にさらされておらず、侵害の唯一の理由は学生のパスワードの再利用であることを説明しようとしています。実際、クレデンシャルスタッフィングの全体的なコンセプトは、人々が多くの異なるサービスに同一のパスワードを使用するという事実によって可能になり、これは、これの結果がどれほど悪い可能性があるかを示す、一見無限に続く一連の攻撃の最新のものです。

多くの人々は、この違反の責任があるのは学生だけであるという結論に飛びつくかもしれません。ただし、状況によっては、意見が変わる可能性があります。

これはMU Health Careの最初の違反ではありません

この事件の数か月前の2019年4月に、MUヘルスケアは非常によく似た違反に見舞われました。その場合、組織の従業員の一部の電子メールアカウントが侵害され、ハッカーはその内部で14,000人を超える患者の個人データを発見しました。 MUヘルスケアは数か月後に攻撃を発表したとき、犯罪者がどのように侵入したのかを明かすことはできませんでした。

このような違反の結果として、提携電子メールアカウントに2要素認証（2FA）を導入することは論理的に思えるかもしれません。それを施行することが患者のデータのより良い保護への第一歩であると言う人さえいるかもしれません。残念ながら、MUヘルスケアはそれを行わないことを決定しました。2019年9月の攻撃を軌道に乗せていなかったため、これは残念です。