Noll
Advokater allmänt från tolv av USA: s stater har gått samman för att filen som den första någonsin gemensamma gränsöverskridande staten HIPAA rättegång mot en vårdgivare som fick hacka sommaren 2015.
I stämningsansökan, som lämnats i en Indiana domstolen på måndag, hävdar att Medicinsk Informatik Teknik och dess dotterbolag NoMoreClipboard –tillsammans är kända och att göra affärer som MIE-hade “misslyckats med att vidta lämpliga och rimliga åtgärder för att säkerställa att deras dator system skulle skyddas.”
På grund av deras påstådda brister, hackare har fått tillgång till MIE WebChart web app, där de fick tillgång och stal personuppgifter på 3,9 miljoner USA-medborgare som besökt 11 vårdgivare och 44 radiologi kliniker som hanteras patientdata via WebChart app.
Stulna data ingår en guldgruva av personlig information, såsom namn, telefon, hem adresser, födelsedatum, personnummer, e-postadresser, lösenord, användarnamn, frågor om säkerhet, men också hälso-och sjukvård information som resultat, diagnoser, hälsotillstånd, funktionshinder koder, medicinska journaler, sjukförsäkring information och även information om patienternas familjemedlemmar.
Den stora majoriteten av de drabbade användarna var beläget i Indiana-över 1,5 miljoner-men användare i andra länder påverkades också, men i mindre utsträckning.
Nu, nästan tre år efter det att hacka, delstatsåklagare från tolv stater har strålat samman för att stämma vårdgivaren för många brister enligt bestämmelserna i sjukförsäkringslagen Bärbarhet och Accountability Act (HIPAA).
De stater som deltar i rättegång är Arizona, Arkansas, Florida, Iowa, Indiana, Kansas, Kentucky, Louisiana, Minnesota, Nebraska, south Carolina, och Wisconsin.
Enligt en kopia av stämningsansökan, som erhålls genom ZDNet, MIE tjänstemän hade misslyckats på flera fronter när det kom till att genomföra “grundläggande branschen accepterade datasäkerhet åtgärder.”
Till exempel:
Svarande ställa upp en allmän “tester” – konto som kan nås med hjälp av ett gemensamt lösenord som heter “tester” och ett andra konto som heter “test” med ett gemensamt lösenord i “testing”.Förutom att vara lätt att gissa, dessa generiska konton som inte kräver ett unikt användar-id och lösenord för att få fjärråtkomst.I en formell penetration test utfört av Digitala Försvar i januari 2015, och dessa konton identifierats som hög risk, och ändå Tilltalade fortsatt att anställa användning av dessa konton.I själva verket, [MIE] erkände om upprättandet av generiska konton på begäran av en av dess vårdgivare kunder så att de anställda inte har att logga in med ett unikt användar-id och lösenord.”Tester” – konto inte har haft tillgång men gjorde det möjligt för angripare att lägga fram en sammanhängande sträng av frågor, en så kallad SQL injection-attack, hela databasen för att vara en auktoriserad användare.De frågor som returneras felmeddelanden som gav inkräktaren tips om varför posten var felaktig, vilket ger värdefull insikt i den databas struktur.Sårbarheten för en SQL injection-attack identifierades som en hög risk under en penetration test av Digitala Försvar 2014.Digital Försvar rekommenderas att Svaranden “vidta lämpliga åtgärder för att genomföra användningen av parametriserade frågor, eller för att säkerställa att sanering av användarens inmatning.” Trots denna rekommendation, Tilltalade vidtog inga åtgärder för att avhjälpa felet.Inkräktaren som används information de fått från SQL-fel-meddelanden för att komma åt “till kassan” – konto, som hade administrativa rättigheter. “Kassa” – konto som användes för att komma åt och exfiltrate mer än 1,1 miljoner patientjournaler från Tilltalades databaser.SQL-fel bedrift var också används för att få ett andra konto som kallas “dcarlson”. “Dcarlson” – konto som användes för att komma åt och exfiltrate mer än 565,000 ytterligare poster.Den 25 Maj 2015, angriparen inleddes en andra metod för angrepp genom att föra in skadlig kod som kallas en “c99” cell på Tilltalades system. Detta malware som orsakat en massiv antal poster som hämtas från Tilltalades databaser. Den stora dokument dumpa avtog nätverkets prestanda i en sådan omfattning att det utlöste ett nätverk larm till systemadministratören. Systemadministratören har utrett händelsen och avslutade skadlig kod och data exfiltration den 26 Maj 2015.Svarandens post-strid svar var otillräckliga och ineffektiva.Medan c99 attacken var utreds, angriparen fortsatte att extrahera patient records den 26 Maj och 28 Maj, med hjälp av den privilegierade du på “till kassan” för meriter som förvärvats genom användning av SQL-frågor. På dessa två dagar, totalt 326,000 patientjournaler kom åt.Brottet var inte framgångsrikt som finns tills den 29 Maj, när en säkerhet entreprenör som anlitats av Svaranden identifierade misstänkta IP-adresser som ledde entreprenören för att avslöja de viktigaste SQL-attack metod.Svaranden underlåtit att genomföra och upprätthålla ett aktivt säkerhets-och övervakningssystem och varningssystem för att upptäcka och varna om onormala förhållanden såsom data exfiltration, onormal administratör aktiviteter, och avlägsna tillträde till system med okända eller utländska IP-adresser.Betydelsen av avsaknad av dessa verktyg säkerhet kan inte överskattas, eftersom två av de IP-adresser som används för att komma Tilltalades databaser har sitt ursprung från Tyskland. En aktiv verksamhet säkerhet bör systemet har identifierat fjärrsystemet tillgång av en okänd IP-adress och larmade en systemadministratör för att undersöka.
Nu, med hänvisning till alla dessa påstådda brister på MIE sida, de tolv stater som att be en Indiana domstolen att bevilja befrielse och civilrättsliga påföljder för alla offer.
Mer säkerhet nyheter:
BeatStars avslöjar brott mot säkerheten i Twitter live stream
Quora avslöjar mega brott som påverkar 100 miljoner användareMarriott avslöjar dataintrång påverkar 500 miljoner hotellgästerDunkin’ Donuts konton kan ha blivit hackad i referens fyllning attackDell meddelar brott mot säkerhetenElasticSearch server utsätts för personuppgifter för mer än 57 miljoner AMERIKANSKA medborgareCathay Pacific brott läcker personuppgifter på 9,4 miljoner människor CNETVarför 31% av dataintrång leda till att anställda får sparken TechRepublic
Relaterade Ämnen:
Regeringen – OSS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0