Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 30 december 2021 | Ämne: Säkerhet
Rhode Islands åklagare Peter Neronha sa till The Providence Journal på torsdagen att han kommer att inleda en utredning om ett dataintrång som involverar Rhode Island Public Transit Authority (RIPTA). Detta kommer efter att upprördheten ökade den här veckan över byråns hantering av incidenten.
Neronhas kontor berättade för nyhetsbyrån att de får ett stort antal samtal om händelsen, vilket fick dem att undersöka vad som hände.
Den 21 december skickade RIPTA ut ett meddelande som sa att den 5 augusti var då man först identifierade en “säkerhetsincident”. RIPTA upptäckte så småningom att data exfiltrerades från deras system mellan 3 augusti och 5 augusti. Filerna innehöll information om RIPTA hälsoplaner och inkluderade personnummer, adresser, födelsedatum, Medicare identifikationsnummer och kvalifikationsinformation, hälsoplansmedlems identifieringsnummer, och anspråksinformation.
Det amerikanska departementet för hälso- och sjukvårdsbrottswebbplats visar att 5 015 personer drabbades.
Tidigare i veckan bad ACLU på Rhode Island RIPTA förklara varför personlig information om personer utan koppling till byrån ingick i dataintrånget.
Den lokala verkställande direktören för ACLU-avdelningen Steven Brown säger att hans avdelning har tagit emot klagomål från personer som fick brev från RIPTA som meddelade dem att deras personliga data, inklusive personlig hälso- och sjukvårdsinformation, hade åtkomst till ett säkerhetsintrång i RIPTA:s datorsystem.
“Enligt brevet identifierades intrånget den 5 augusti, men det var inte förrän den 28 oktober – över två och en halv månad senare – som RIPTA identifierade de individer vars privata information hade hackats, och det tog sedan nästan två månader till för att meddela dessa individer”, skrev Brown.
Breven avslöjar att antalet offer som anges på det amerikanska hälsodepartementets webbplats (5 015) inte stämmer överens med antalet i meddelandena om överträdelser som skickats till offren: 17 378 personer.
< p>“Det värsta – och mest oförklarliga – av allt, de människor som har kontaktat oss är ännu djupare bedrövade över det faktum att RIPTA på något sätt hade någon av deras personliga information – mycket mindre deras personliga hälsovårdsinformation – i första hand , eftersom de inte har någon som helst koppling till din byrå,” tillade Brown.
ACLU sa också att RIPTA inte var transparent om intrånget, och noterade att RIPTA:s offentliga uttalanden om incidenten skiljer sig mycket från brev som skickas till offren. RIPTA:s första uttalande antydde att de som drabbades endast var förmånstagare av RIPTAs hälsoplaner.
“Baserat på de klagomål vi har mottagit är detta extremt vilseledande och förringar allvarligt överträdelsens omfattande karaktär. Viktigast av allt, det ignorerar, och misslyckas med att ta itu med, en mängd frågor om hur informationen som hackades var i RIPTA:s händer i första platsen”, skrev Brown.
RIPTAs ledande befattningshavare Courtney Marciano berättade för ZDNet att statens tidigare sjukförsäkringsleverantör skickade filerna som inkluderade känslig information om de som inte arbetade för RIPTA.
Marciano tillade att RIPTA endast skickade ut meddelandebrev till individer vars personliga information fanns i filerna (som är från en leverantör som administrerade en plan som inte längre är aktiv) och som hackarna nådde.
Providence Journal noterade att RIPTA tidigare använde UnitedHealthcare men nu använder Blue Cross/Blue Shield från Rhode Island.
“När RIPTA upptäckte denna incident arbetade RIPTA flitigt för att verifiera alla individer (både interna RIPTA-anställda, såväl som individer utanför byrån) vars personliga information fanns i filerna som var åtkomst till eller infiltrerade av en obehörig part. Efter att analysen var klar , RIPTA sökte i dess register och identifierade adressinformation för dessa individer,” sa Marciano.
“Denna process var tidskrävande och arbetskrävande, men RIPTA ville vara säker på vilken information som var inblandad och vem den avsåg. Ingen passagerarinformation äventyrades.”
Situationen orsakade ännu mer upprördhet när rep. Edith Ajello berättade för The Providence Journal att hennes information var inblandad i intrånget trots att hon aldrig hade varit på en RIPTA-buss på “nästan ett decennium”.
Ajello förklarade att när hon tryckte på RIPTA för att förklara varför hennes information var inblandad, fick hon veta att UnitedHealthcare skickade RIPTA “alla statliga anställdas hälsopåståenden.” Detta påstås ha tvingat byrån att effektivt sortera igenom hela partiet för att ta reda på vilka anspråk som kom från RIPTA-anställda.
Åklagaren kommer nu att undersöka om RIPTA bröt mot Rhode Islands Identity Theft Protection Act från 2015, vilket ger regeringen byråer 45 dagar på sig att rapportera ett brott. Det tog RIPTA mer än två månader att meddela offren.
Sekretess
De bästa webbläsarna för sekretess 2021 iOS 15.2:s appsekretessrapport: Hur man aktiverar det och vad det betyder Pixel 6 vs. iPhone 12: Vilken telefon är egentligen säkrare? Det har skett en ökning av övervakningsarbetare i hemmet. Vi borde vara oroliga Regeringen – USA | Säkerhets-TV | Datahantering | CXO | Datacenter