Noll
Premera Blue Cross
Kärandena av en grupptalan rättegång mot försäkringskassa Premera Blue Cross anklagar organisationen för “medvetet förstöra bevismaterial som var avgörande för att fastställa exakt information i en säkerhetsöverträdelse händelsen.
I dom handlingar inlämnade i förra veckan som erhålls genom ZDNet att kärandena hävdar att Premera avsiktligt förstört en dator som har en nyckelroll i att avslöja fler detaljer om brottet, men också programvara som loggar in från en säkerhetsprodukt som kan ha visat tecken på att data exfiltration.
Fastställande av om hackare stal data från Premera system är avgörande för den rättsliga fall. Brott offer del av grupptalan kommer att vara att hävda en rätt till ekonomisk ersättning, medan Premera kan hävda att eftersom hackare inte stjäla data från sina servrar, det är ingen påtaglig skada på offer.
PageUp säger att det är “sannolikt” att kundens data var externt åtkomliga | journaler av high school-elever som läckt ut i ‘skrämmande’ dataintrång
Grupptalan rättegång är i anslutning till Mars 2015 tillkännagivande. Då, Premera meddelade att hackare har brutit mot sina system och fått tillgång till datorer att hålla de personliga och medicinska uppgifter om över 11 miljoner Amerikaner.
Flera stämningar sattes i rörelse i 2015, senare följt av en grupptalan ansökan. Arg Premera kunder hänvisas till vårdslöshet på Premera s del. Målsägarna hävdar att Office-Personal Ledning (OPM) “finns många säkerhetsbrister under en rutinmässig granskning av Premera system, som det rapporterats att Premera ett par veckor innan strid.”
Den OPM varning kom i April 2014. En månad senare en Premera anställd föll offer för en phishing e-post, vilket ledde till att hackare plantera skadlig kod på företagets nätverk.
Premera tog månader att lyssna på OPM: s varning, att anställa it-säkerhetsföretaget Mandiant i oktober 2014. Cyber-bevakningsföretag upptäckte överträdelsen några månader senare, i januari 2015.
“Mandiant undersökning fastställs att en känd hacka gruppen (som hade riktat och extraherade data från liknande enheter) var ansvarig för brottet, och upptäckte fragment av RAR-filer som är skapade av komprimering program som används ofta av hackare för att krympa filerna till en hanterbar storlek innan exfiltration,” dom handlingar inlämnade den 3 augusti 2018 avslöja.
En del av deras tvister, käranden begärt att få tillgång till bevis som gäller för 2015 brott mot säkerheten, inklusive Mandiant rapporter, och hårddiskar och kriminaltekniska bilder av 35 Premera datorer som Mandiant identifierats som smittade.
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka | Tusentals av OSS väljare att ” data är utsatta av robocall företag
Men i nya handlingar som lämnats in förra veckan, kärande säga att “Premera svarade att det bara kunde skapa bilder för 34 av de 35 datorer; den 35: e dator som hade förstörts.”
“Den 35-datorn, som kallas A23567-D, var en “developer’ dator–laddad med robust programvara och gav security clearance att Premera mest känsliga databaser,” handlingar säga.
“Mandiant fann att A23567-D innehöll en unik del av hacker-skapade malware som Mandiant FOTO. Mandiant finns endast FOTO på A23567-D. FOTO malware haft möjlighet att ladda upp och ladda ner filer, och att exfiltrate data. Hackare nås FOTO på A23567-D mellan 12 Maj, 2014 februari 2015.
“Hackare konfigurerad FOTO på A23567-D för att kommunicera med en utomstående webbplats som heter” www[.]presecoust[.]kom.’ Mandiant analys av proxy loggar finns hundratusentals av nästan dagliga kontakter mellan A23567-D, den enda Premera dator och som innehåller ett FOTO, och www.presecoust.com mellan 23 juli 2014 till och med den 9 januari 2015. Bara A23567-D är förstörd hårddisk kan visa vad hackers kvar vid dessa kontakter.”
Misstanken är att dessa hårddiskar RAR-filer som används för data exfiltration, tillsammans med andra bevis.
CNET: Equifax data överträdelse av siffrorna: fullständig uppdelning
Enligt ett svar kärandenas juridiska team fått från Premera, 34 av 35 datorer Mandiant markerade som smittade skickades till upptag, men A23567-D var kategoriseras som en End-of-Life asset, och Premera är DET laget hade det förstört den 16 December 2016.
“De förstörde datorn var perfekt positionerat för att vara en-och-bara att iscensätta datorn hackare som behövs för att skapa stora rastande filer för att sjöfarten ännu mer data utanför Premera nätverk,” kärandena hävdar. “Den här datorn fungerade som utvecklingsmaskin för programmerare, och som sådan var förinstallerad med ett brett utbud av legitima verktyg som skulle kunna vändas till något ändamål.”
“Samtidigt som Mandiant hade en chans att analysera dess innehåll och dra slutsatser från data, Käranden inte kommer att kunna göra så, och som har berövats förmågan att granska och komma med Mandiant slutsatser baserade på dessa data.”
Kärandena har ett intresse av att svarade på Mandiant analys eftersom de säger att flera Mandiant rapporter hade motstridiga slutsatser –med februari och Mars 2015 rapporter som tyder på att hackare exfiltrated data, medan en juni 2015 rapport förnekade påståenden i tidigare rapporter, säger inga bevis för data exfiltration hittades.
TechRepublic: Ett dataintrång kan bli dyrare än du tror, tack vare dessa dolda kostnader
Men det är inte allt. Ytterligare kärandena hävdar också att Premera inte vidta åtgärder för att säkra avgörande loggar skapade av data loss prevention (DLP) programvara som kallas Bluecoat.
“Premera förstörde båda dessa bitar av bevis efter inlämnandet av denna rättegång,” sade käranden.
Kärandenas juridiska team är nu ber domaren att övervaka det gäller att instruera juryn “att förutsätta att exfiltration inträffade”, och att förneka Premera chansen att ta in någon säkerhetsexpert för att vittna om att ingen data exfiltration ägde rum.
Om domaren regler positivt på detta förslag, Premera kommer inte att kunna hävda att käranden inte drabbas av skadestånd på grund av hackare faktiskt aldrig stulit något från sina servrar. Men en gynnsam dom kommer inte att vara tillräckligt för käranden att vinna heller, så de måste fortfarande bevisa att kunder drabbats av direkta skador på grund av 2015 brott. Under de senaste åren, brutit mot företag har vunnit de flesta av dessa fall, eftersom offren finns det mycket svårt, eller nästan omöjligt, att koppla finansiella förluster från identitetsstöld eller id-bedrägerier till ett visst brott, i synnerhet. Det var verkligen inte hjälpa att kunderna fått sina personuppgifter läcka online vänster och höger, under det senaste decenniet.
Svara på en begäran om kommentar från ZDNet skickade tidigare idag, Premera Blue Cross VP Corporate Communications Steve Kipp lämnat följande uttalande:
“Vi är medvetna om de förslag till sanktioner som nyligen inlämnad av målsägarna i klassen åtgärder som härrör från 2015 cyberattack på Premera. Det är den typ av motion som inte är ovanligt i komplexa processer som omfattar omfattande fysiska och skriftlig bevisning, och utgör bara en av många tvister som kan uppstå under upptäcktsfasen en rättegång. Vi håller inte med rörelse och inte tro på fakta motivera lättnad klagande har begärt. Våra advokater kommer att lämna in ett svar i sinom tid.”
Detta är inte första gången som en organisation som är anklagad för att förstöra avgörande bevis i en rättsprocess. Associated Press hittade förra året att det var Georgien som valförrättarna lugnt torkas en dator server som kunde ha avslöjat om Georgiens senaste valet var för intrång av hackare.
Artikeln uppdateras efter publicering med Premera uttalande.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0