Jonathan Greig er en journalist basert i New York City.
Full Bio 30. desember 2021 | Emne: Sikkerhet
Rhode Islands riksadvokat Peter Neronha fortalte The Providence Journal torsdag at han kommer til å åpne en etterforskning av et datainnbrudd som involverer Rhode Island Public Transit Authority (RIPTA). Dette kommer etter at harme vokste denne uken over byråets håndtering av hendelsen.
Neronhas kontor fortalte nyhetsmediet at de mottar et stort antall oppringninger om hendelsen, noe som får dem til å se nærmere på hva som skjedde.
21. desember sendte RIPTA ut et varsel som sa at 5. august var den første tiden den identifiserte en «sikkerhetshendelse». RIPTA oppdaget til slutt at data ble eksfiltrert fra systemene deres mellom 3. august og 5. august. Filene inneholdt informasjon om RIPTA-helseplaner og inkluderte personnummer, adresser, fødselsdato, Medicare-identifikasjonsnummer og kvalifikasjonsinformasjon, ID-nummer for helseplanmedlemmer, og kravinformasjon.
Nettstedet for brudd på det amerikanske departementet for helse og menneskelige tjenester indikerer at 5015 personer ble berørt.
Tidligere denne uken ba ACLU på Rhode Island RIPTA om å forklare hvorfor personopplysninger om personer uten tilknytning til byrået ble inkludert i databruddet.
Den lokale administrerende direktøren for ACLU-avdelingen, Steven Brown, sier at kapittelet hans har mottatt klager fra folk som fikk brev fra RIPTA som varslet dem om at deres personlige data, inkludert personlig helseinformasjon, ble åpnet i et sikkerhetsbrudd på RIPTAs datasystemer.
«I følge brevet ble bruddet identifisert 5. august, men det var angivelig ikke før 28. oktober – over to og en halv måned senere – at RIPTA identifiserte personene hvis private opplysninger var blitt hacket, og det tok så nesten to måneder til for å varsle disse personene,” skrev Brown.
Brevene avslører at antallet ofre som er oppført på nettstedet til US Department of Health and Human Services (5 015) ikke samsvarer med antallet i bruddvarslene som ble sendt til ofrene: 17 378 personer.
< p>«Det verste – og mest uforklarlige – av alt er at menneskene som har kontaktet oss er enda mer bekymret over det faktum at RIPTA på en eller annen måte hadde noen av deres personlige opplysninger – langt mindre deres personlige helseopplysninger – i utgangspunktet , siden de ikke har noen forbindelse i det hele tatt med byrået ditt,” la Brown til.
ACLU sa også at RIPTA ikke var åpen om bruddet, og la merke til at RIPTAs offentlige uttalelser om hendelsen er veldig annerledes enn brev som sendes til ofrene. RIPTAs første uttalelse antydet at de berørte bare var mottakerne av RIPTAs helseplaner.
“Basert på klagene vi har mottatt, er dette ekstremt misvisende og bagatelliserer alvorlig bruddets omfattende karakter. Det viktigste er at det ignorerer, og unnlater å adressere, en rekke spørsmål om hvordan informasjonen som ble hacket var i RIPTAs hender i det første stedet,” skrev Brown.
RIPTA-sjef Courtney Marciano fortalte ZDNet at statens tidligere helseforsikringsleverandør sendte filene som inkluderte sensitiv informasjon til de som ikke jobbet for RIPTA.
Marciano la til at RIPTA bare sendte ut varslingsbrev til personer hvis personlige opplysninger var inneholdt i filene (som er fra en leverandør som administrerte en plan som ikke lenger er aktiv) og tilgang til av hackerne.
Providence Journal bemerket at RIPTA tidligere brukte UnitedHealthcare, men nå bruker Blue Cross/Blue Shield fra Rhode Island.
“Da RIPTA oppdaget denne hendelsen, jobbet flittig med å verifisere alle individer (både interne RIPTA-ansatte, så vel som personer utenfor byrået) hvis personopplysninger var i filene som ble åpnet eller infiltrert av en uautorisert part. Etter at analysen var fullført , RIPTA søkte i postene sine og identifiserte adresseinformasjon for disse personene,” sa Marciano.
“Denne prosessen var tid- og arbeidskrevende, men RIPTA ønsket å være sikker på hvilken informasjon som var involvert og hvem den gjaldt. Ingen passasjerinformasjon ble kompromittert.”
Situasjonen forårsaket enda mer forargelse da rep. Edith Ajello fortalte The Providence Journal at informasjonen hennes var involvert i bruddet til tross for at hun aldri hadde vært på en RIPTA-buss på «nesten et tiår».
Ajello forklarte at da hun presset RIPTA for å forklare hvorfor informasjonen hennes var involvert, ble hun fortalt at UnitedHealthcare sendte RIPTA «alle statsansattes helsepåstander». Dette tvang angivelig byrået til effektivt å sortere gjennom hele partiet for å finne ut hvilke krav som kom fra RIPTA-ansatte.
Riksadvokaten vil nå undersøke om RIPTA brøt Rhode Islands Identity Theft Protection Act av 2015, som gir regjeringen byråer 45 dager til å rapportere et brudd. Det tok RIPTA mer enn to måneder å varsle ofrene.
Personvern
De beste nettleserne for personvern i 2021 iOS 15.2s apppersonvernrapport: Slik slår du den på, og hva det betyr Pixel 6 vs. iPhone 12: Hvilken telefon er egentlig sikrere? Det har vært en økning i overvåking av arbeidere hjemme. Vi bør være bekymret Regjeringen – USA | Sikkerhets-TV | Databehandling | CXO | Datasentre