Phishing-angreb i USA: Persondata og sundhedsdata fra 68.000 patienter kan være lækket

Illustration: Rawpixel.com/Bigstock
Patienternes navne, adresser, CPR-numre, kreditkortinformation og elektroniske signaturer kan være faldet i de forkerte hænder.

68.000 amerikanske patienter kan have mistet deres person- og sundhedsdata efter et vellykket phishing-angreb. To ansatte hos Methodist Hospitals i Gary, Indiana, blev udsat for phishing-angreb mellem marts og august i 2019, har efterforskningshold nu erfaret.

Det skriver Bleepingcomputer.com.

Methodist har ikke oplevet tilfælde af misbrug af den lækkede data. Det varierer, hvad den enkelte patient kan have mistet, men de lækkede data kan indebære information om patientens navn, addresse, elektroniske signatur, CPR-nummer og kreditkortinformation blandt meget andet.

Methodist har efterfølgende informeret de ramte patienter om, at deres informationer kan være faldet i forkerte hænder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

men de lækkede data kan indebære information om patientens navn, addresse, elektroniske signatur, CPR-nummer og kreditkortinformation blandt meget andet.

Såeh, er det 68.000 eksil-danskere der har fået lækket data, eller hvor kommer CPR-numre ind i billedet?

  • 3
  • 0
Anne-Marie Krogsbøll

Ingen bud på, hvad disse følsomme data laver i almindelige emails?

Et forsigtigt bud - fuldstændig fri fantasi indtil videre: De to ansatte kæmper som så mange andre med at betjene Epics tunge system, og har sprunget over, hvor gærdet er lavest, og anvendt emails som den letteste måde at sende/opbevare patientdata....

Det kan sagtens være helt forkert - men jeg har så svært ved at forestille mig, hvad så mange patienters data ellers laver i almindelige emails.... (eller - gys - disse data er sendt som led i forskningsprojekter..?)

Men igen er det vel den menneskelige faktor - som vel i givet fald også gør sig gældende i andre Epic-hospitaler?

Jeg ser frem til alternative forklaringer....

  • 0
  • 0
Stefan Gregersen

Hej Anne-Marie,

Jeg ser ingen steder i artiklen at dataen er taget fra mail systemet i sig selv, blot at de havde fået adgang deres konti. Dette giver aktørerne mulighed for at lave yderligere social engineering angreb ved at kontakte andre afdelinger (såsom support, it eller hvad de nu har til at administre tingene) og få adgang til andre dele af systemet.
Det ville ihvertfald være min angrebsstrategi i sådanne situation.

Dog vil jeg ikke sige at det er umuligt med din teori :)

  • 2
  • 0
Anne-Marie Krogsbøll

Hej Stefan.

Tak for svar.

Det kan godt være, at min manglende tekniske indsigt løber af med mig, men i artiklen på Bleepingcomputer, som der linkes til, fremgår følgende:

Methodist also discovered as part of the same investigation that, while the personal and medical information exposed for each individual varies, the two email accounts included the following patient info:
Name, address, health insurance subscriber, group, and/or plan number, group identification number, Social Security number, driver's license/state identification number, passport number, financial account number, payment card information, electronic signature, username and password, date of birth, medical record number, CSN number, HAR number, Medicare/Medicaid number, and medical treatment/diagnosis information."

Jeg forstår dette, som at disse patientdata faktisk ligger i disse email-konti. Misforstår jeg det?

Hvis jeg har ret, så er der vel nærmest tale om 2 hændelser/læk: 1) data trækkes ud af journalsystemet til private (men måske arbejdsreleaterede) email-konti, 2) ansatte hopper i en phishing-fælde...

  • 2
  • 0
Stefan Gregersen

Hej igen Anne-Marie,

Jeg lagde mærke til min grelle misforståelse af dit oplæg og valgte at tilrette svaret (Håbede ikke det var blevet offentliggjort :P)

Men kan se at jeg havde misset noget alligevel, du har ret at der udfra det udfra den sektion godt kunne tyde på at der var tale om en grel menneskelig fejl i forhold til at håndtere persondata.

  • 2
  • 0
Log ind eller Opret konto for at kommentere