Patientens personnummer har komprometterats i samband med ett MU-hälsovårdsuppgifter
Folk tenderar att glömma att den viktigaste uppgiften efter att ha upptäckt ett dataintrång är att skydda användarens integritet. Istället fokuserar de ofta på att ta reda på vem eller vad som är skylden för händelsen. Låt oss ta denna strategi för ett ögonblick och se vem som är ansvarig för överträdelsen som Missouri Health Care (MU Health Care) rapporterade förra veckan.
Table of Contents
MU-sjukvårdspatientens data åtkom via via komprometterade e-postkonton
För ungefär åtta månader sedan visade det sig att vissa studenter från University of Missouri anslutna till MU Health Care hade fått sina e-postkonton komprometterade. Den "obehöriga individen" bröt först in den 19 september 2019, och även om MU Health Care fick veta om attacken den 21 september var överträdelsen inte förseglad förrän den 26 september.
Inuti studenternas inkorgar hittade cyberbrottsliga ganska mycket personlig information som tillhör MU Health Care-patienter, inklusive namn, födelsedatum, sjukförsäkringsuppgifter, "begränsad" behandling och klinisk information och "ett litet antal" socialförsäkring tal. Attacken följdes av en lång undersökning under vilken MU Health Care lyckades identifiera alla drabbade patienter. Av någon anledning kan meddelandet emellertid inte nämna hur många personer som fått sin information exponerad.
MU Health Care: Det var en legitim stoppningsattack
MU Health Care-tillkännagivandet var snabbt att påpeka att hackarna lyckades bryta in e-postkontona på grund av elevernas dåliga lösenordshanteringsförmåga. Enligt pressmeddelandet hade de konton hos en tredje partstjänst som bröt. Vid den nämnda tjänsten använde de identiska användarnamn och lösenord som de som skyddar deras e-postmeddelanden, och hackarna utnyttjade detta. Med andra ord, de drabbades av en referensstoppningsattack.
MU Health Care försöker förklara att dess system inte komprometterades och att det enda skälet till överträdelsen är elevernas lösenordsanvändning. Faktum är att hela konceptet med referensstoppning möjliggörs av det faktum att människor använder identiska lösenord för många olika tjänster, och detta är bara det senaste av en till synes oändlig linje med attacker som visar hur dåliga konsekvenserna av detta kan vara.
Många människor kan komma till slutsatsen att de enda som är ansvariga för detta intrång är studenterna. Lite sammanhang kan dock ändra deras åsikt.
Detta är inte det första överträdelsen för MU Health Care
I april 2019, flera månader före denna incident, drabbades MU Health Care ett mycket liknande intrång. I så fall komprometterades e-postkonton för några av organisationens anställda, och inuti dem hittade hackarna personuppgifterna från mer än 14 tusen patienter. När den meddelade attacken några månader senare misslyckades MU Health Care med att säga hur brottslingarna lyckades bryta in, och det berättade inte heller för oss vilken typ av åtgärder den vidtar för att skydda patienter mot liknande attacker.
Det kan tyckas logiskt att införa tvåfaktorautentisering (2FA) för anslutna e-postkonton efter en sådan överträdelse. Vissa kan till och med säga att upprätthållande av det är det första steget mot bättre skydd av patientens uppgifter. Tyvärr beslutade MU Health Care att inte göra det, vilket är synd eftersom det skulle ha stoppat attacken i september 2019 i sina spår.
