انضمت اثنتا عشرة ولاية أمريكية للمرة الأولى إلى رفع دعوى قضائية بشأن خرق بيانات متعددة الولايات

  • Oct 05, 2023

تفاصيل الدعوى القضائية قائمة طويلة من الإخفاقات الأمنية من جانب MIE.

اجتمع المدعون العامون من اثنتي عشرة ولاية أمريكية معًا لتقديم أول دعوى قضائية مشتركة عبر الولايات ضد قانون HIPAA ضد مقدم الرعاية الصحية الذي تعرض للاختراق في صيف عام 2015.

حماية

  • 8 عادات للعاملين عن بعد الآمنين للغاية
  • كيفية العثور على برامج التجسس وإزالتها من هاتفك
  • أفضل خدمات VPN: كيف يمكن مقارنة أفضل 5 خدمات؟
  • كيفية معرفة ما إذا كنت متورطًا في عملية اختراق للبيانات - وماذا تفعل بعد ذلك

وتزعم الدعوى المرفوعة أمام محكمة في ولاية إنديانا يوم الاثنين أن شركة Medical Informatics Engineering وشركة NoMoreClipboard التابعة لها -- المعروفة بشكل جماعي وتمارس الأعمال التجارية باسم MIE -- "فشلت في اتخاذ التدابير الكافية والمعقولة لضمان سلامة أنظمة الكمبيوتر الخاصة بها محمي."

بسبب إخفاقاتهم المزعومة، تمكن المتسللون من الوصول إلى تطبيق الويب MIE WebChart، حيث تمكنوا من الوصول وسرقة البيانات الشخصية. تفاصيل 3.9 مليون مواطن أمريكي زاروا 11 من مقدمي الرعاية الصحية و44 عيادة أشعة قامت بإدارة بيانات المرضى عبر WebChart برنامج.

البيانات المسروقة

متضمنة كنز من المعلومات الشخصية، مثل الأسماء والهواتف وعناوين المنازل وتواريخ الميلاد وأرقام الضمان الاجتماعي وعناوين البريد الإلكتروني وكلمات المرور وأسماء المستخدمين وأسئلة الأمان، ولكن أيضًا معلومات الرعاية الصحية مثل نتائج المختبر والتشخيصات والحالات الطبية وأكواد الإعاقة والسجلات الطبية ومعلومات التأمين الصحي وحتى معلومات عن عائلة المرضى أعضاء.

وتقع الغالبية العظمى من المستخدمين المتأثرين في ولاية إنديانا - أكثر من 1.5 مليون - ولكن المستخدمين في ولايات أخرى تأثروا أيضًا بدرجة أقل.

الآن، بعد ما يقرب من ثلاث سنوات من الاختراق، اجتمع المدعون العامون للولاية من اثنتي عشرة ولاية معًا لمقاضاة مقدم الرعاية الصحية للعديد من الإخفاقات بموجب أحكام قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA).

والولايات المشاركة في الدعوى هي أريزونا وأركنساس وفلوريدا وأيوا وإنديانا وكانساس وكنتاكي ولويزيانا ومينيسوتا ونبراسكا ونورث كارولينا وويسكونسن.

وفقا ل نسخة من الدعوى، التي حصلت عليها ZDNet، فشل مسؤولو MIE على عدة جبهات عندما يتعلق الأمر بتنفيذ "إجراءات أمان البيانات الأساسية المقبولة في الصناعة".

على سبيل المثال:

  • قام المدعى عليهم بإعداد حساب "اختبار" عام يمكن الوصول إليه باستخدام كلمة مرور مشتركة تسمى "اختبار" وحساب ثانٍ يسمى "اختبار" بكلمة مرور مشتركة "اختبار".
  • بالإضافة إلى سهولة تخمينها، لم تتطلب هذه الحسابات العامة معرف مستخدم فريد وكلمة مرور فريدة من أجل الوصول إليها عن بعد.
  • في اختبار اختراق رسمي أجرته شركة Digital Defense في يناير 2015، تم تحديد هذه الحسابات على أنها عالية المخاطر، ومع ذلك استمر المدعى عليهم في استخدام هذه الحسابات.
  • في الواقع، أقرت [MIE] بإنشاء الحسابات العامة بناءً على طلب أحد مقدمي الرعاية الصحية التابعين لها عملاء المزود بحيث لا يضطر الموظفون إلى تسجيل الدخول باستخدام معرف مستخدم فريد و كلمة المرور.
  • لم يكن حساب "الاختبار" يتمتع بامتياز الوصول ولكنه سمح للمهاجم بإرسال سلسلة مستمرة من الاستعلامات، المعروفة باسم هجوم حقن SQL، في جميع أنحاء قاعدة البيانات كمستخدم معتمد.
  • أعادت الاستعلامات رسائل خطأ أعطت للمتسلل تلميحات حول سبب عدم صحة الإدخال، مما يوفر رؤية قيمة لبنية قاعدة البيانات.
  • تم تحديد الثغرة الأمنية تجاه هجوم حقن SQL على أنها خطر كبير أثناء اختبار الاختراق الذي أجرته شركة Digital Defense في عام 2014.
  • أوصى الدفاع الرقمي المدعى عليه "باتخاذ التدابير المناسبة لتنفيذ استخدام الاستعلامات ذات المعلمات، أو تأكد من تطهير مدخلات المستخدم." وعلى الرغم من هذه التوصية، لم يتخذ المدعى عليهم أي خطوات لمعالجة المشكلة وهن.
  • استخدم الدخيل المعلومات التي تم الحصول عليها من رسائل خطأ SQL للوصول إلى حساب "الخروج"، الذي يتمتع بامتيازات إدارية. تم استخدام حساب "الخروج" للوصول إلى أكثر من 1.1 مليون سجل مريض وإخراجها من قواعد بيانات المتهمين.
  • تم استخدام استغلال أخطاء SQL أيضًا للحصول على حساب مميز ثانٍ يسمى "dcarlson". تم استخدام حساب "dcarlson" للوصول إلى أكثر من 565000 سجل إضافي وتصفيتها.
  • في 25 مايو 2015، بدأ المهاجم طريقة ثانية للهجوم عن طريق إدخال برامج ضارة تسمى خلية "c99" على نظام المدعى عليهم. تسببت هذه البرامج الضارة في استخراج عدد هائل من السجلات من قواعد بيانات المدعى عليهم. أدى تفريغ المستندات الضخمة إلى إبطاء أداء الشبكة إلى الحد الذي أدى إلى إطلاق إنذار الشبكة لمسؤول النظام. قام مسؤول النظام بالتحقيق في الحدث وأنهى البرامج الضارة واستخراج البيانات في 26 مايو 2015.
  • وكانت استجابة المدعى عليه بعد الانتهاك غير كافية وغير فعالة.
  • أثناء التحقيق في هجوم c99، استمر المهاجم في استخراج سجلات المرضى 26 مايو و28 مايو، باستخدام بيانات اعتماد "الخروج" المميزة التي تم الحصول عليها من خلال استخدام SQL الاستعلامات. وفي هذين اليومين، تم الوصول إلى إجمالي 326000 سجل مريض.
  • لم يتم احتواء الاختراق بنجاح حتى 29 مايو، عندما قام المدعى عليه بتعيين مقاول أمني حددت عناوين IP المشبوهة التي دفعت المقاول إلى الكشف عن هجوم SQL الرئيسي طريقة.
  • فشل المدعى عليهم في تنفيذ والحفاظ على نظام نشط للمراقبة والتنبيه الأمني ​​للكشف عن الحالات الشاذة والتنبيه بها حالات مثل استخراج البيانات، وأنشطة المسؤول غير الطبيعية، والوصول إلى النظام عن بعد عن طريق عنوان IP غير مألوف أو أجنبي عناوين.
  • لا يمكن المبالغة في أهمية غياب أدوات الأمان هذه، حيث أن اثنين من عناوين IP المستخدمة للوصول إلى قواعد بيانات المدعى عليهم مصدرها ألمانيا. يجب أن يحدد نظام العمليات الأمنية النشط الوصول إلى النظام عن بعد من خلال عنوان IP غير مألوف وينبه مسؤول النظام للتحقيق.

والآن، مع الإشارة إلى كل هذه الإخفاقات المزعومة من جانب MIE، تطلب الولايات الاثنتي عشرة من محكمة إنديانا منح الإغاثة والعقوبات المدنية لجميع الضحايا المتضررين.

فقدت هذه الشركات بياناتك في أكبر عمليات الاختراق والانتهاكات لعام 2015

المزيد من الأخبار الأمنية:

  • يكشف BeatStars عن خرق أمني في البث المباشر على Twitter
  • Quora تكشف عن اختراق ضخم أثر على 100 مليون مستخدم
  • ماريوت تكشف عن خرق للبيانات يؤثر على 500 مليون نزيل في الفندق
  • ربما تم اختراق حسابات Dunkin' Donuts في هجوم حشو بيانات الاعتماد
  • شركة Dell تعلن عن اختراق أمني
  • كشف خادم ElasticSearch عن البيانات الشخصية لأكثر من 57 مليون مواطن أمريكي
  • أدى اختراق شركة طيران كاثي باسيفيك إلى تسريب بيانات شخصية لـ 9.4 مليون شخص سي نت
  • لماذا تؤدي 31% من خروقات البيانات إلى طرد الموظفين؟ TechRepublic