De burgerservicenummers van patiënten zijn aangetast door een MU-inbreuk op de gezondheidszorg
Mensen vergeten vaak dat het beschermen van de privacy van de gebruiker de belangrijkste taak is na het ontdekken van een datalek. In plaats daarvan richten ze zich vaak op het achterhalen van wie of wat de schuld is van het incident. Laten we deze aanpak even bekijken en kijken wie verantwoordelijk is voor de inbreuk die Missouri Health Care (MU Health Care) vorige week meldde.
Table of Contents
De gegevens van MU Health Care-patiënten waren toegankelijk via aangetaste e-mailaccounts
Ongeveer acht maanden geleden werd het duidelijk dat bij sommige studenten van de Universiteit van Missouri die waren aangesloten bij MU Health Care, hun e-mailaccounts waren gehackt. De 'onbevoegde persoon' brak voor het eerst door op 19 september 2019 en hoewel MU Health Care hoorde van de aanval op 21 september, werd de inbreuk pas op 26 september verzegeld.
In de inbox van de studenten vonden de cybercriminelen heel wat persoonlijke informatie van patiënten met MU-gezondheidszorg, waaronder namen, geboortedata, gegevens over de ziektekostenverzekering, "beperkte" behandeling en klinische informatie, en "een klein aantal" van de sociale zekerheid nummers. De aanval werd gevolgd door een langdurig onderzoek waarbij MU Health Care alle getroffen patiënten wist te identificeren. Om de een of andere reden vermeldt de aankondiging echter niet hoeveel mensen hun informatie hebben laten zien.
MU Health Care: Het was een aanvalsaanval
De aankondiging van MU Health Care wees er snel op dat de hackers erin slaagden in te breken in de e-mailaccounts vanwege de slechte vaardigheden voor wachtwoordbeheer van de studenten. Volgens het persbericht hadden ze accounts bij een externe service die werd geschonden. Bij die dienst gebruikten ze identieke gebruikersnamen en wachtwoorden voor degenen die hun e-mails beschermden, en de hackers maakten hiervan gebruik. Met andere woorden, ze werden geraakt door een opvulaanval.
MU Health Care probeert uit te leggen dat haar systemen niet zijn aangetast en dat de enige reden voor de inbreuk het hergebruik van het wachtwoord van de studenten is. Het hele concept van inloggegevens wordt mogelijk gemaakt door het feit dat mensen identieke wachtwoorden gebruiken voor veel verschillende services, en dit is slechts het laatste van een schijnbaar eindeloze reeks aanvallen die laat zien hoe erg de gevolgen hiervan kunnen zijn.
Veel mensen zouden tot de conclusie kunnen komen dat de enigen die verantwoordelijk zijn voor deze inbreuk de studenten zijn. Een beetje context zou hun mening echter kunnen veranderen.
Dit is niet de eerste overtreding voor MU Health Care
In april 2019, enkele maanden voor dit incident, leed MU Health Care een zeer vergelijkbare inbreuk. In dat geval werden de e-mailaccounts van sommige medewerkers van de organisatie in gevaar gebracht en binnenin vonden de hackers de persoonlijke gegevens van meer dan 14 duizend patiënten. Toen het een paar maanden later de aanval aankondigde, kon MU Health Care niet zeggen hoe de criminelen erin slaagden in te breken, en het vertelde ons ook niet wat voor soort maatregelen het neemt om patiënten te beschermen tegen soortgelijke aanvallen.
Het lijkt misschien logisch om tweeledige authenticatie (2FA) voor aangesloten e-mailaccounts te introduceren in de nasleep van een dergelijke inbreuk. Sommigen zouden zelfs kunnen zeggen dat handhaving ervan de eerste stap is naar een betere bescherming van patiëntgegevens. Helaas heeft MU Health Care besloten het niet te doen, wat jammer is omdat het de aanslag van september 2019 in zijn sporen zou hebben gestopt.
