MU醫療保健數據洩露事件損害了患者的社會安全號碼
人們往往會忘記,發現數據洩露後最重要的任務就是保護用戶的隱私。取而代之的是,他們通常專注於找出事件的責任人或責任。讓我們暫時使用這種方法,看看誰對上周密蘇里州醫療保健(MU Health Care) 報告的違規行為負責。
Table of Contents
通過受損的電子郵件帳戶訪問了MU Health Care患者的數據
大約八個月前,很明顯,密蘇里大學的一些隸屬於MU Health Care的學生的電子郵件帳戶被盜。 “未經授權的個人”首次闖入是在2019年9月19日,儘管MU Health Care於9月21日獲悉了這次襲擊事件,但直到9月26日該漏洞才得以解決。
在學生的收件箱中,網絡罪犯發現了許多屬於MU Health Care患者的個人信息,包括姓名,出生日期,健康保險數據,“有限”的治療和臨床信息以及“少量”的社會保障數字。發作之後進行了長時間的調查,在此期間,MU Health Care設法確定了所有受影響的患者。但是,由於某些原因,該公告未提及有多少人公開了他們的信息。
MU Health Care:這是憑證填充攻擊
MU Health Care的公告很快指出,由於學生的密碼管理技能差,黑客設法闖入了電子郵件帳戶。根據新聞稿,他們在第三方服務處的帳戶遭到破壞。在上述服務處,他們使用與保護電子郵件相同的用戶名和密碼,黑客利用了這一點。換句話說,他們遭到憑證填充攻擊 。
MU Health Care試圖解釋其係統並未受到損害,而造成漏洞的唯一原因是學生的密碼重用。確實,由於人們為許多不同的服務使用相同的密碼,才使憑據填充的整個概念成為可能,而這只是看似無止境的一系列攻擊中的最新一例,表明這種攻擊的後果有多嚴重。
許多人可能會得出這樣的結論:造成這種破壞的唯一原因是學生。不過,有些背景可能會改變他們的看法。
這不是MU Health Care的首次違規
在此事件發生前的幾個月,即2019年4月,MU Health Care遭受了非常類似的違反。在這種情況下,該組織的一些員工的電子郵件帳戶遭到破壞,黑客在其中發現了超過1.4萬名患者的個人數據。幾個月後,當它宣布襲擊時,MU Health Care沒有透露犯罪分子如何闖入,也沒有告訴我們正在採取何種措施來保護患者免受類似襲擊。
在這種違規行為發生之後,為關聯的電子郵件帳戶引入兩因素身份驗證(2FA)似乎是合乎邏輯的。甚至有人說,執行它是更好地保護患者數據的第一步。不幸的是,MU Health Care決定不這樣做,這很遺憾,因為它本可以阻止2019年9月的襲擊。