Nul
Advokater generelt fra tolv AMERIKANSKE stater har sluttet sig sammen til at file den første nogensinde fælles på tværs af-staten, HIPAA retssag mod en sundhedspleje udbyder, der fik hacket i sommeren 2015.
Den retssag, gemt i en Indiana retten på mandag, hævder, at Medicinsk Informatik Ingeniør og dets datterselskab NoMoreClipboard –kollektivt kendt og drive virksomhed som MIE– havde “undladt at træffe hensigtsmæssige og rimelige foranstaltninger til at sikre, at deres edb-systemer var beskyttet.”
På grund af deres påståede mangler, at hackere har fået adgang til MIE WebChart web app, hvorfra de har fået adgang og stjal personlige oplysninger på 3,9 millioner AMERIKANSKE borgere, der har besøgt 11 behandlere og 44 radiologi klinikker, der forvaltes af patientdata via WebChart app.
Stjålne data, der indgår en guldgrube af personlige oplysninger, såsom navne, mobiltelefoner, hjemme-adresser, fødselsdato, cpr-numre, e-mailadresser, passwords, brugernavne, sikkerhed spørgsmål, men også sundhedsvæsenet såsom lab resultater, diagnoser, sygdomme, handicap-koder, journaler, sygesikring oplysninger, og endda oplysninger om patienternes familiemedlemmer.
Langt størstedelen af de påvirket brugere var placeret i Indiana –over 1,5 million– men brugere i andre stater blev også berørt i mindre grad.
Nu, næsten tre år efter hack, justitsministre fra tolv stater har sluttet sig sammen til at sagsøge sundhedsplejerske for mange mangler i henhold til bestemmelserne i Health Insurance Portability and Accountability Act (HIPAA).
De stater, der deltager i retssagen, er Arizona Arkansas, Florida, Iowa, Indiana, Kansas, Kentucky, Louisiana, Minnesota, Nebraska, North Carolina, og Wisconsin.
Ifølge en kopi af den retssag, som er fremkommet ved ZDNet, MIE embedsmænd, der havde lidt nederlag på flere fronter, når det kom til at gennemføre “grundlæggende industri-accepterede data sikkerhedsforanstaltninger.”
For eksempel:
Tiltalte oprette en generisk “tester” – konto, der kan tilgås ved at bruge en fælles adgangskode, der kaldes “tester” og en anden konto kaldet “test” med et fælles password på “test”.Ud over at være nemt at gætte, disse generiske konti ikke kræver et unikt bruger-id og adgangskode for at få fjernadgang.I en formel penetration test foretaget af Digitale Forsvar i januar 2015, disse regnskaber blev identificeret som høj risiko, men Tiltalte fortsatte med at ansætte brug af disse konti.I virkeligheden, [MIE] erkendte oprettelse af det generiske konti på anmodning af en af sine’ sundhedspleje udbyder kunder, således at ansatte ikke er nødt til at logge på med en unik bruger-id og adgangskode.De “tester” konto ikke har privilegeret adgang til, men gjorde det give hackeren mulighed for at indsende en ubrudt streng af forespørgsler, der er kendt som et SQL injection angreb, hele databasen som en autoriseret bruger.De forespørgsler, der returneres en fejlmeddelelse, hvor der gav tyven tips om, hvorfor posten var forkerte, hvilket giver værdifuld indsigt i database struktur.Den svaghed, at et SQL-injection angreb blev identificeret som en højrisikofaktor i løbet af en penetration test udført af Digitale Forsvar i 2014.Digitale Forsvar anbefales, at Sagsøgte “træffe passende foranstaltninger til at gennemføre brug af parameteriserede forespørgsler eller til at sikre en desinficering af brugerens input.” På trods af denne henstilling, og Tiltalte tog ikke skridt til at afhjælpe svagheden.Ubuden gæst, der anvendes oplysninger, erfaringer fra SQL-fejl-beskeder for at få adgang til “kassen” – konto, som har haft administrative privilegier. “Kassen” konto blev brugt til at få adgang til og exfiltrate mere end 1,1 millioner patient journaler fra Tiltaltes databaser.SQL-fejl udnytte blev også brugt til at få en anden privilegeret konto kaldet “dcarlson”. “Dcarlson” konto blev brugt til at få adgang til og exfiltrate mere end 565,000 yderligere registreringer.Den Maj 25, 2015, angriberen indledte en anden metode til angreb ved at indsætte malware, der kaldes en “c99” celle på Tiltaltes system. Denne malware forårsaget en massiv antallet af poster, der skal udvindes fra Tiltaltes databaser. Den store dokument-dumpe faldt ned af netværkets ydeevne i en sådan grad, at det udløste et netværk alarm til en system administrator. Systemadministratoren undersøgte tilfælde og afsluttede malware og data exfiltration på 26 Maj 2015.Sagsøgtes indlæg-brud svar var utilstrækkelig og ineffektiv.Mens c99 angreb var ved at blive undersøgt, angriberen fortsatte med at udtrække patientjournaler på 26 Maj, og 28 Maj, ved hjælp af den privilegerede “kassen” – legitimationsoplysninger, der er erhvervet gennem brug af SQL-forespørgsler. På disse to dage, i alt 326,000 patientjournaler havde adgang til.Bruddet var ikke held, der er indeholdt indtil Maj 29, når en sikkerhed entreprenør hyret af Sagsøgte identificeret mistænkelige IP-adresser, som førte entreprenør til at afdække de vigtigste SQL-angreb metode.Sagsøgte har undladt at implementere og vedligeholde en aktiv sikkerhed, overvågning og alarm systemet til at registrere og få besked om unormale tilstande såsom data exfiltration, unormal administrator aktiviteter, og remote adgang til systemet med ukendte eller fremmede IP-adresser.Betydningen af fraværet af disse sikkerhedsværktøjer kan ikke overvurderes, da to af de IP-adresser, der bruges til at få adgang til Tiltalte’ databaser, der stammer fra Tyskland. En aktiv sikkerhed, system bør have identificeret remote adgang til systemet med et ukendt IP-adresse og alarmerede en system administrator til at undersøge.
Nu, med henvisning til alle disse påståede mangler på MIE ‘ s side, tolv medlemsstater, er at spørge en Indiana retten til at yde nødhjælp og civilretlige sanktioner over for alle de berørte ofre.
Mere sikkerhed nyheder:
BeatStars afslører brud på sikkerheden, Twitter live stream
Quora oplyser mega overtrædelse, der påvirker 100 millioner brugereMarriott afslører brud på datasikkerheden, som påvirker 500 millioner hotellets gæsterDunkin’ Donuts konti kan være blevet hacket i credential fyld angrebDell annoncerer sikkerhedsbrudElasticSearch server udsat personoplysninger, som er over 57 millioner AMERIKANSKE borgere,Cathay Pacific, brud, lækager personlige data på 9,4 mio mennesker, CNET, Hvorfor 31% af brud på datasikkerheden føre til, at medarbejdere bliver fyret, TechRepublic
Relaterede Emner:
Regeringen – OS
Sikkerhed-TV
Data Management
CXO
Datacentre
0