Os números de seguridade social dos pacientes foram comprometidos em uma violação de dados de assistência médica da MU

As pessoas tendem a esquecer que a tarefa mais importante após descobrir uma violação de dados é proteger a privacidade do usuário. Em vez disso, eles geralmente se concentram em descobrir quem ou o que é o culpado pelo incidente. Vamos adotar essa abordagem por um momento e ver quem é o responsável pela violação relatada na semana passada pela Missouri Health Care (MU Health Care).

Os dados dos pacientes da MU Health Care foram acessados através de contas de email comprometidas

Cerca de oito meses atrás, ficou claro que alguns estudantes da Universidade do Missouri afiliados à MU Health Care tiveram suas contas de email comprometidas. O "indivíduo não autorizado" entrou pela primeira vez em 19 de setembro de 2019 e, embora a MU Health Care soubesse do ataque em 21 de setembro, a violação não foi selada até 26 de setembro.

Nas caixas de entrada dos estudantes, os cibercriminosos encontraram muitas informações pessoais pertencentes aos pacientes da MU Health Care, incluindo nomes, datas de nascimento, dados de seguro de saúde, tratamento "limitado" e informações clínicas e "um pequeno número" de Seguro Social números. O ataque foi seguido por uma longa investigação durante a qual a MU Health Care conseguiu identificar todos os pacientes afetados. Por alguma razão, no entanto, o anúncio não menciona quantas pessoas tiveram suas informações expostas.

MU Health Care: foi um ataque de preenchimento de credenciais

O anúncio da MU Health Care foi rápido em apontar que os hackers conseguiram invadir as contas de email por causa das habilidades precárias de gerenciamento de senhas dos alunos. De acordo com o comunicado de imprensa, eles tinham contas em serviços de terceiros que foram violadas. No serviço mencionado, eles usavam nomes de usuário e senhas idênticos aos que protegiam seus emails, e os hackers se aproveitaram disso. Em outras palavras, eles foram atingidos por um ataque de preenchimento de credenciais.

A MU Health Care está tentando explicar que seus sistemas não foram comprometidos e que a única razão para a violação é a reutilização da senha dos alunos. De fato, todo o conceito de preenchimento de credenciais é possível pelo fato de as pessoas usarem senhas idênticas para muitos serviços diferentes, e esse é apenas o mais recente de uma linha aparentemente interminável de ataques que mostra quão ruins podem ser as consequências disso.

Muitas pessoas podem chegar à conclusão de que os únicos responsáveis por essa violação são os estudantes. Um pouco de contexto poderia mudar sua opinião, no entanto.

Esta não é a primeira violação do MU Health Care

Em abril de 2019, vários meses antes desse incidente, a MU Health Care sofreu uma violação muito semelhante. Nesse caso, as contas de email de alguns funcionários da organização foram comprometidas e, dentro delas, os hackers encontraram os dados pessoais de mais de 14 mil pacientes. Quando anunciou o ataque alguns meses depois, a MU Health Care não conseguiu dizer como os criminosos conseguiram entrar em ação, e também não nos disse que tipo de medidas estão sendo tomadas para proteger os pacientes contra ataques semelhantes.

Pode parecer lógico introduzir a autenticação de dois fatores (2FA) para contas de email afiliadas após essa violação. Alguns podem até dizer que aplicá-lo é o primeiro passo para uma melhor proteção dos dados dos pacientes. Infelizmente, a MU Health Care decidiu não fazê-lo, o que é uma pena, pois teria interrompido o ataque de setembro de 2019.