Bảo mật dữ liệu năm 2019 mở đầu với vô số các vụ rò rỉ thông tin người dùng

Tháng 1 bắt đầu với hàng loạt cuộc tấn công vào dữ liệu người dùng, báo hiệu một năm 2019 đầy sóng gió của bảo mật an ninh mạng.

Hàng triệu người đã bị ảnh hưởng bởi các vi phạm dữ liệu vào năm 2018 và năm 2019 cho thấy việc này vẫn sẽ tiếp diễn thậm chí là tăng cao hơn. Vi phạm mới nhất vào thứ ba bao gồm một cuộc tấn công vào một nhà cung cấp dịch vụ y tế có quản lý ở Indiana, một cuộc tấn công vào trung tâm cai nghiện và chăm sóc sức khỏe ở Michigan, hàng triệu tiền trong quỹ môi giới tiền ảo Cryptopia Exchange và tiền phạt lớn đối với SingHealth ở Singapore.

Đây chỉ là tin tức mới nhất về các vụ rò rĩ dữ liệu kể từ đầu năm mới.

Vi phạm dữ liệu của bên thứ ba tại Dịch vụ y tế được quản lý (MHS) của Indiana đã làm lộ khoảng 31.000 dữ liệu cá nhân của bệnh nhân. Nhà cung cấp dịch vụ đã học được từ người cung cấp của mình, LCP Transport, rằng người dùng trái phép đã có quyền truy cập vào tài khoản email của một số nhân viên, trong đó có thông tin bệnh nhân.

Vụ việc xảy ra do một cuộc tấn công lừa đảo vào hệ thống của nhà cung cấp, MHS nói với các bệnh nhân.

Có thể các email trong tài khoản đã bị kẻ tấn công truy cập. Một số email trong tài khoản bị xâm nhập có chứa thông tin sức khỏe cá nhân của thành viên chương trình (PHI) bao gồm tên, địa chỉ, ngày sinh, ngày phục vụ, số ID bảo hiểm và mô tả về tình trạng y tế.

MHS đã biết về vụ việc vào tháng 10 và đã đưa ra thông báo cho bệnh nhân vào cuối tháng 12, trước khi công khai với vụ việc vào tháng 1. Công ty cho biết: Bảo mật Email Email hiện đã được tăng cường và nhân viên đã được đào tạo thêm về các rủi ro không gian mạng.

Trong khi đó, Trung tâm Phục hồi chức năng Thánh Tâm ở Richmond, Mich., Hiện đang thông báo cho bệnh nhân sau một sự cố tương tự. Hai cuộc tấn công lừa đảo vào tháng 4 năm ngoái đã dẫn đến việc lộ các tài khoản email của nhân viên.

Tổ chức này đã không biết về cuộc tấn công cho đến giữa tháng 11, họ nói thêm rằng tài khoản email được đề cập có chứa tên bệnh nhân, địa chỉ, thông tin bảo hiểm y tế, thông tin điều trị, thông tin chẩn đoán và số An sinh xã hội.

Họ không nói có bao nhiêu khách hàng của nó bị ảnh hưởng, nhưng bệnh viện lưu ý dấu chân nạn nhân không đại diện cho danh sách bệnh nhân đầy đủ của họ. Họ cũng đang đào tạo lại nhân viên về nhận thức không gian mạng,.

Các loại vi phạm này được thiết lập để tăng lên khi hệ sinh thái nhà cung cấp mở rộng, số lượng bệnh nhân tăng lên và nhu cầu kinh doanh ngày càng tăng, dẫn đến sự phức tạp hơn bao giờ hết khi quản lý chăm sóc sức khỏe trong thế giới kỹ thuật số.

Với dữ liệu y tế và thông tin bệnh nhân cá nhân di chuyển đến thế giới kỹ thuật số và các cuộc tấn công mạng ngày càng phức tạp, bối cảnh pháp lý đang phát triển, ông Jake Olcott, phó chủ tịch của BitSight cho biết qua email. Các điều khoản hợp đồng đơn giản không đủ để quản lý rủi ro này: các tổ chức chăm sóc sức khỏe phải thực hiện các đánh giá chuyên sâu và liên tục theo dõi các mối quan hệ kinh doanh của bên thứ ba để ngăn chặn sự thất bại thảm khốc.

Trong một loại tiếp xúc dữ liệu khác, Sàn giao dịch tiền điện tử có trụ sở tại New Zealand đã tạm ngừng giao dịch trong khi họ điều tra một vụ hack.

Họ nói thông qua Twitter rằng một cuộc tấn công đã dẫn đến tổn thất đáng kể, nhưng họ đã không định lượng được những gì có thể xảy ra.

Trong khi số tiền không được báo trước, một giao dịch Ethereum từ sàn giao dịch đã được ghi lại vào cuối tuần qua với tổng trị giá gần 2,5 triệu đô la.

Khi người dùng cố gắng truy cập trang web, một thông báo bảo trì trực tuyến, được hiển thị, lưu ý: hiện tại chúng tôi đang gặp phải sự bảo trì đột xuất, chúng tôi đang làm việc để tiếp tục dịch vụ càng sớm càng tốt. Chúng tôi sẽ tiếp tục cập nhật.”

Khi các sự cố mới được đưa ra ánh sáng, các cơ quan quản lý bắt đầu hành động khi gặp các vấn đề trong quá khứ.

Tại Singapore, Ủy ban bảo vệ dữ liệu cá nhân (PDPC) đã áp dụng hình phạt tài chính đối với Hệ thống thông tin y tế tích hợp (IHiS1) và tổ chức chăm sóc sức khỏe lớn nhất của đất nước, SingHealth, vì vi phạm nghĩa vụ bảo vệ dữ liệu của họ theo Đạo luật bảo vệ dữ liệu cá nhân (PDPA).

PDPC đã phạt 750.000 đô la Singapore (khoảng 553.000 đô la) và đã đánh thuế 250.000 đô la (khoảng 184.000 đô la) đối với SingHealth với tư cách là chủ sở hữu hệ thống cơ sở dữ liệu bệnh nhân – mức phạt cao nhất từ ​​trước đến nay của PDPC.

Vào tháng 7, người ta biết rằng SingHealth đã bị tấn công mạng vào hệ thống cơ sở dữ liệu bệnh nhân của mình, với một chiến dịch kiểm tra dữ liệu và phần mềm độc hại kéo dài 10 tháng, dẫn đến việc đánh cắp 1,5 triệu hồ sơ cá nhân của bệnh nhân – cùng với chi tiết đơn thuốc cho 160.000 người khác. Bao gồm trong nhóm là thủ tướng của Singapore, Lee Hsien Loong, người mà Bộ Y tế cho biết đã nhắm mục tiêu đặc biệt và liên tục.

Theo ghi nhận của Thủ tướng Chính phủ và những người khác trong chính phủ Singapore, hồ sơ sức khỏe chứa thông tin bí mật về các cá nhân với một trong những bộ dữ liệu rộng nhất và toàn diện nhất mà một tên trộm có thể tìm thấy. Như vậy, thông tin được đánh giá cao trên Dark Web; thường lấy giá $ 300- $ 500 mỗi bản ghi.

Anh ấy nói thêm, vậy tại sao không ai biết điều đó đang xảy ra? Thông thường, các hệ thống phát hiện được hiệu chỉnh để phát hiện hành vi bất thường. Nhưng khi điểm cuối có quyền truy cập vào hồ sơ bệnh nhân, nó sẽ không gây ra bất kỳ báo động nào khi thiết bị đáng tin cậy đó đang truy cập dữ liệu của bệnh nhân, điều này luôn luôn xảy ra mà không có sự cố. Thời gian dừng lại cho kẻ tấn công này đã mở rộng, cho phép quét 1,5 triệu hồ sơ mà không cần thông báo trước.

Các cuộc điều tra của PDPC về vi phạm dữ liệu cho thấy IHiS1, đối tác công nghệ của SingHealth, đã không thực hiện các biện pháp bảo mật đầy đủ để bảo vệ dữ liệu cá nhân mà họ sở hữu.

Ngoài ra, PDPC cũng nhận thấy rằng các nhân viên SingHealth xử lý các sự cố bảo mật không quen thuộc với quy trình xử lý sự cố, phụ thuộc quá nhiều vào IHiS và không hiểu và thực hiện các bước tiếp theo để hiểu tầm quan trọng của thông tin do IHiS cung cấp sau khi nó được đưa lên, cơ quan giám sát cho biết trong quyết định của mình . Ngay cả khi các tổ chức ủy thác công việc cho các nhà cung cấp, các tổ chức với tư cách là người kiểm soát dữ liệu cuối cùng phải chịu trách nhiệm về dữ liệu cá nhân mà họ đã thu thập từ khách hàng của họ.

PDPC mô tả cuộc tấn công được thực hiện bởi một diễn viên đe dọa có kỹ năng và tinh vi của người Viking, mang đặc điểm của nhóm đe dọa dai dẳng (APT), sử dụng nhiều công cụ tiên tiến, tùy chỉnh và tàng hình và thực hiện cuộc tấn công trong khoảng thời gian hơn 10 tháng. .

Mọi thứ dường như luôn có khả năng trở nên tồi tệ hơn. Đó là sự khởi đầu từ Dự báo Công nghiệp Vi phạm Dữ liệu mới nhất của Experian đưa ra hôm thứ Hai , cho thấy các biên giới vi phạm mới, như sinh trắc học và chơi game, cùng với các mục tiêu vi phạm dễ bị tấn công như đám mây và mạng không dây, đang mở rộng bề mặt tấn công mỗi ngày.

Tổng cộng, gã khổng lồ báo cáo tín dụng đã đưa ra năm dự đoán vi phạm dữ liệu cho năm 2019, bắt đầu bằng sinh trắc học.

Những kẻ tấn công sẽ không tham gia vào việc hack sinh trắc học và để lộ các lỗ hổng trong cảm biến ID cảm ứng, nhận dạng khuôn mặt và mật mã, theo báo cáo.

Công ty cũng dự đoán rằng phần mềm độc hại lướt qua thẻ sẽ được đào tạo trên các mạng doanh nghiệp trong tương lai. Trong khi đó, nó cũng dự đoán rằng chúng ta sẽ thấy các cuộc tấn công lớn vào các nhà cung cấp dịch vụ không dây hàng đầu (AT & T, Verizon, et al) và dịch vụ đám mây (AWS hoặc Microsoft Azure).

Một nhà mạng không dây lớn sẽ bị tấn công sẽ gây hiệu ứng đồng thời trên cả iPhone và Android, đánh cắp thông tin cá nhân của hàng triệu người tiêu dùng và có thể vô hiệu hóa tất cả các thông tin liên lạc không dây ở Hoa Kỳ, công ty cho biết. Nó nói thêm, đó là vấn đề khi nào, chứ không phải, nếu một nhà cung cấp điện toán đám mây hàng đầu sẽ bị vi phạm, làm tổn hại đến thông tin nhạy cảm của các công ty lớn.

Và cuối cùng, cộng đồng chơi game trực tuyến sẽ là mục tiêu của tin tặc mới nổi, với tội phạm mạng đóng giả là game thủ và có quyền truy cập vào máy tính và dữ liệu cá nhân của người chơi tin tưởng, theo báo cáo.

0/5 (0 Reviews)

Leave a Comment