計劃生育協會網站的漏洞使患者面臨更多的攻擊
計劃生育協會洛杉磯分會(PPLA)的網站被黑客攻擊,網絡攻擊者拿走了至少40萬名患者的個人健康信息。
在一份提交給加利福尼亞州的數據泄露通知中,該組織表示,它在10月17日發現被黑客入侵,當時它就將該系統進行了下線。隨后通過調查確定,入侵者從10月9日開始就進入了該網絡。在此期間,他們竊取了包含用戶地址、保險信息、出生日期的文件,以及最敏感的臨床信息,如診斷、治療程序和處方信息。
這些臨床數據是高度敏感的。計劃生育協會提供了各種性健康服務,包括年度婦科檢查、節育、宮頸癌篩查、產前護理、性教育等。
計劃生育協會發言人發布聲明,攻擊者還在系統內安裝了勒索軟件,但他沒有提供有關攻擊是否已經成功加密文件或該組織是否支付贖金等相關信息。
有政治動機?
安全研究人員通過電子郵件說,這些資料被竊取的用戶的信息,很有可能會被曝光,這就使得眾多女性處于一個非常被動的地位。醫療記錄的安全性從未有今天如此重要。我們只能希望這些信息不會被泄露出去。
雖然目前還不清楚這一事件攻擊者是否有政治動機,但該組織以前就曾遭受過黑客攻擊,2015年的一次網絡攻擊事件中,導致數百名員工的數據被竊取。
計劃生育協會執行副總裁當時說,計劃生育協會是這個國家最值得信賴的婦女保健提供者,而反墮胎的極端分子會不惜一切代價來阻止女性獲得她們所尋求的健康。
今年早些時候,該組織的華盛頓大都會分部披露了2020年的漏洞,網絡黑客盜取了病人和捐贈者的出生日期、醫療數據以及社會安全和財務信息。
病人要警惕后續的攻擊
竊取數據只是雙重勒索攻擊的一部分。在這種情況下,除非支付贖金,否則攻擊者會威脅要公開泄露的數據。這就會帶來一系列的安全問題。然而,研究人員指出,相關數據的多樣性使其很容易受到后續的攻擊。而對PPLA的病人來說,其影響可能是很大的。
安全研究人員說:"此次針對計劃生育局的數據竊取程度已經超出了一般威脅者對身份數據在暗網上轉售的需要。" 由于被盜的不僅是標準的身份信息,而且盜取的還是有醫療背景的程序數據,如果攻擊者惡意使用這些數據的話,那么造成的后果可想而知。
例如,攻擊者可能會采取一些社會工程學手段,如收集支付卡的釣魚郵件,要求病人確認其賬單信息。身份盜竊和保險欺詐也是令人很關注的問題;而且一般總是會有病人被勒索和敲詐,甚至是遭到人身威脅。
該部門在聲明中說:"我們建議患者及時審查其醫療服務提供者或醫療保險公司的報表,如果他們發現了他們沒有接受過的服務收費,請立即與他們聯系。”
對計劃生育協會造成的影響
同時,PPLA也使自己陷入了困境,首先是品牌的聲譽受到損害。
如果該組織不能保證其最珍貴的數據(病人信息)的安全,患者個人怎么會相信他們所接受的醫療服務能夠得到保證呢?這也正是醫療機構被要求遵守高標準的信息安全(HIPAA)的原因。如果PPLA被證明在應用所要求的HIPAA安全和隱私規則方面有所疏忽,它可能要承擔民事甚至是刑事指控。
此外,僅僅因為一個組織符合他們部門的強制性法律/標準(HIPAA/NIST/CMMC/等等)并不意味著他們就是安全的,在利用這些框架的同時,擁有專業的人員和技術,才能確保你的業務、客戶和其他敏感信息足夠安全。
網絡威脅研究員認為,組織的事件響應機制是很重要的。
網絡安全設備不可能阻止所有的攻擊者,所以安全團隊必須要時刻關注任何可能會發生的漏洞。這就是為什么事件響應機制是至關重要的。這些響應機制不僅僅和安全團隊有關,還和整個組織的所有的利益相關者有關。這些計劃應該及時的實踐起來,并且及時去更新它。
安全專家也指出,僅做公司的周邊防御是不夠的。特別是當涉及到敏感數據時,在傳輸過程中對數據進行加密對于防止網絡犯罪分子竊取數據是至關重要的。此外,最重要的是,組織應該有一個不可修改的數據備份,這可以防止這些犯罪分子改變或刪除這些數據,并確保在發生攻擊時能夠及時恢復這些未受感染的備份副本。
研究人員總結說,在一般情況下,像計劃生育這樣的組織的工作應該是艱難的。
計劃生育使得民眾產生了很多消極的情緒。隨著這些情緒的產生,該組織也就成為了眾矢之的。
本文翻譯自:https://threatpost.com/planned-parenthood-breach-attacks/176718/如若轉載,請注明原文地址。
