Numery ubezpieczenia społecznego pacjentów zostały naruszone w wyniku naruszenia ochrony zdrowia przez MU
Ludzie zapominają, że najważniejszym zadaniem po wykryciu naruszenia danych jest ochrona prywatności użytkownika. Zamiast tego często koncentrują się na ustaleniu, kto lub co jest winny incydentowi. Przyjmijmy to podejście przez chwilę i zobaczmy, kto jest odpowiedzialny za naruszenie zgłoszone w Missouri Health Care (MU Health Care) w zeszłym tygodniu.
Table of Contents
Dostęp do danych pacjentów MU Healthcare uzyskano za pośrednictwem zainfekowanych kont e-mail
Około ośmiu miesięcy temu stało się jasne, że niektórzy studenci University of Missouri powiązani z MU Health Care mieli zainfekowane konta e-mail. „Osoba nieupoważniona” po raz pierwszy włamała się 19 września 2019 r. I chociaż MU Health Care dowiedziała się o ataku 21 września, naruszenie zostało przypieczętowane dopiero 26 września.
W skrzynkach odbiorczych studentów cyberprzestępcy znaleźli całkiem sporo danych osobowych należących do pacjentów MU Health Care, w tym nazwiska, daty urodzenia, dane dotyczące ubezpieczenia zdrowotnego, „ograniczone” informacje o leczeniu i klinice oraz „niewielką liczbę” ubezpieczenia społecznego liczby. Po ataku nastąpiło długie badanie, podczas którego MU Health Care udało się zidentyfikować wszystkich dotkniętych chorobą pacjentów. Jednak z jakiegoś powodu w ogłoszeniu nie wspomniano, ile osób ujawniło swoje informacje.
MU Health Care: To był atak farszu uwierzytelniającego
Ogłoszenie MU Health Care szybko zwróciło uwagę, że hakerom udało się włamać na konta e-mail z powodu słabych umiejętności zarządzania hasłami przez studentów. Według komunikatu prasowego mieli konta w serwisie zewnętrznym, które zostały naruszone. We wspomnianej usłudze używali identycznych nazw użytkowników i haseł do tych, którzy chronią swoje e-maile, i hakerzy skorzystali z tego. Innymi słowy, zostali potrąceni przez atak farszu uwierzytelniającego.
MU Health Care próbuje wyjaśnić, że jego systemy nie zostały naruszone, a jedynym powodem naruszenia jest ponowne użycie hasła przez studentów. W rzeczywistości cała koncepcja upychania poświadczeń jest możliwa dzięki temu, że ludzie używają identycznych haseł do wielu różnych usług, a to tylko najnowsza z pozornie niekończącej się linii ataków, która pokazuje, jak złe mogą być tego konsekwencje.
Wiele osób może dojść do wniosku, że jedynymi osobami odpowiedzialnymi za to naruszenie są studenci. Trochę kontekstu może jednak zmienić ich zdanie.
To nie jest pierwsze naruszenie MU Health Care
W kwietniu 2019 r., Kilka miesięcy przed tym incydentem, MU Health Care doznało bardzo podobnego naruszenia. W takim przypadku konta e-mail niektórych pracowników organizacji zostały przejęte, a w nich hakerzy znaleźli dane osobowe ponad 14 tysięcy pacjentów. Kiedy kilka miesięcy później ogłosił atak, MU Health Care nie powiedziała, w jaki sposób przestępcy się włamali, a także nie powiedziała nam, jakie środki podejmuje, aby chronić pacjentów przed podobnymi atakami.
Logiczne może się wydawać wprowadzenie uwierzytelniania dwuskładnikowego (2FA) dla powiązanych kont e-mail w następstwie takiego naruszenia. Niektórzy mogą nawet powiedzieć, że egzekwowanie tego jest pierwszym krokiem w kierunku lepszej ochrony danych pacjentów. Niestety MU Health Care postanowiło tego nie robić, co szkoda, ponieważ powstrzymałoby atak z września 2019 roku.
