Jonathan Greig er journalist med base i New York City.
Fuld biografi den 30. december 2021 | Emne: Sikkerhed
Rhode Islands justitsminister Peter Neronha fortalte The Providence Journal torsdag, at han vil åbne en undersøgelse af et databrud, der involverer Rhode Island Public Transit Authority (RIPTA). Dette sker efter, at forargelsen voksede i denne uge over agenturets håndtering af hændelsen.
Neronhas kontor fortalte nyhedsmediet, at de modtager et stort antal opkald om hændelsen, hvilket fik dem til at undersøge, hvad der skete.
Den 21. december udsendte RIPTA en meddelelse om, at den 5. august første gang identificerede en “sikkerhedshændelse”. RIPTA opdagede til sidst, at data blev eksfiltreret fra deres systemer mellem 3. august og 5. august. Filerne indeholdt oplysninger om RIPTA-sundhedsordninger og inkluderede CPR-numre, adresser, fødselsdato, Medicare-identifikationsnumre og kvalifikationsoplysninger, sundhedsplanmedlemmers identifikationsnumre, og kravoplysninger.
Det amerikanske ministerium for sundheds- og menneskelige tjenesters brudwebsted angiver, at 5.015 mennesker var berørt.
Tidligere på ugen bad ACLU på Rhode Island RIPTA om at forklare, hvorfor personoplysninger om personer uden tilknytning til bureauet var inkluderet i databruddet.
Den lokale administrerende direktør for ACLU-afdelingen, Steven Brown, siger, at hans afdeling har modtaget klager fra folk, der fik breve fra RIPTA, der underrettede dem om, at deres personlige data, inklusive personlige sundhedsoplysninger, blev tilgået i et sikkerhedsbrud på RIPTAs computersystemer.
“Ifølge brevet blev bruddet identificeret den 5. august, men det var angiveligt først den 28. oktober – over to en halv måned senere – at RIPTA identificerede de personer, hvis private oplysninger var blevet hacket, og derefter tog det næsten to måneder mere til at underrette disse personer,” skrev Brown.
Brevene afslører, at antallet af ofre, der er opført på det amerikanske Department of Health and Human Services hjemmeside (5.015), ikke stemmer overens med antallet i meddelelserne om overtrædelser, der er sendt til ofrene: 17.378 personer.
< p>“Værst – og mest uforklarligt – af alt, er de mennesker, der har kontaktet os, endnu mere fortvivlede over det faktum, at RIPTA på en eller anden måde havde nogen af deres personlige oplysninger – meget mindre deres personlige sundhedsoplysninger – i første omgang , da de slet ikke har nogen forbindelse med dit bureau,” tilføjede Brown.
ACLU sagde også, at RIPTA ikke var gennemsigtig med hensyn til bruddet, og bemærkede, at RIPTA's offentlige udtalelser om hændelsen er meget anderledes end breve, der sendes til ofrene. RIPTAs oprindelige erklæring antydede, at de berørte kun var modtagere af RIPTA-sundhedsordninger.
“Baseret på de klager, vi har modtaget, er dette ekstremt vildledende og bagatelliserer alvorligt bruddets omfattende karakter. Vigtigst af alt ignorerer det, og undlader at adressere, et væld af spørgsmål om, hvordan den information, der blev hacket, var i RIPTAs hænder i det første sted,” skrev Brown.
RIPTA-topchef Courtney Marciano fortalte ZDNet, at statens tidligere sygeforsikringsudbyder sendte filerne, der indeholdt følsomme oplysninger om dem, der ikke arbejder for RIPTA.
Marciano tilføjede, at RIPTA kun udsendte meddelelsesbreve til personer, hvis personlige oplysninger var indeholdt i filerne (som er fra en udbyder, der administrerede en plan, der ikke længere er aktiv) og tilgås af hackerne.
The Providence Journal noterede, at RIPTA tidligere brugte UnitedHealthcare, men nu bruger Blue Cross/Blue Shield fra Rhode Island.
“Efter at have opdaget denne hændelse, arbejdede RIPTA ihærdigt på at verificere alle personer (både interne RIPTA-medarbejdere, såvel som personer uden for bureauet), hvis personlige oplysninger var i filerne, som blev tilgået eller infiltreret af en uautoriseret part. Efter at analysen var afsluttet , RIPTA gennemsøgte sine optegnelser og identificerede adresseoplysninger for disse personer,” sagde Marciano.
“Denne proces var tids- og arbejdskrævende, men RIPTA ønskede at være sikker på, hvilke oplysninger der var involveret, og hvem de vedrørte. Ingen passageroplysninger blev kompromitteret.”
Situationen vakte endnu mere forargelse, da rep. Edith Ajello fortalte The Providence Journal, at hendes oplysninger var involveret i bruddet på trods af, at hun aldrig havde været på en RIPTA-bus i “næsten et årti.”
Ajello forklarede, at da hun trykkede på RIPTA for at forklare, hvorfor hendes oplysninger var involveret, fik hun at vide, at UnitedHealthcare sendte RIPTA “alle statsansattes sundhedsanprisninger.” Dette tvang angiveligt agenturet til effektivt at sortere gennem hele partiet for at finde ud af, hvilke krav der var fra RIPTA-ansatte.
Attorney General vil nu undersøge, om RIPTA overtrådte Rhode Islands Identity Theft Protection Act fra 2015, som giver regeringen agenturer 45 dage til at rapportere et brud. Det tog RIPTA mere end to måneder at underrette ofrene.
Privatliv
De bedste browsere til privatlivets fred i 2021 iOS 15.2's App Privacy Report: Sådan tænder du det, og hvad det hele betyder Pixel 6 vs. iPhone 12: Hvilken telefon er egentlig mere sikker? Der har været en stigning i overvågningsarbejdere i hjemmet. Vi burde være bekymrede Regeringen – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre