Satıcı, Görünür Bir ‘Kraliyet’ Saldırısının Ardından Dava İle Karşı Karşıya Kaldı

Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özgü

Yazılım Firmasının Veri Sızdırması Sağlık Veri İhlali Yaklaşık 251.000 Kişiyi Etkiledi

Marianne Kolbasuk McGee (SağlıkBilgisi) •
9 Mart 2023

Bir sağlık hizmeti gelir döngüsü yönetimi yazılımı satıcısı, yaklaşık 251.000 hastayı etkileyen Aralık 2022 veri hırsızlığı saldırısının ardından önerilen bir toplu dava davasıyla karşı karşıya. Fidye yazılımı grubu Royal’in saldırının sorumluluğunu üstlendiği ve iddiaya göre çalınan verilerin örneklerini karanlık web sızıntı sitesinde sızdırdığı bildirildi.

Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu

Avukatlar, kendisi ve benzer şekilde etkilenen diğerleri adına davacı Paula Henderson adına Colorado merkezli Reventics LLC aleyhine Pazartesi günü bir Colorado federal mahkemesinde dava açtı. Şirket, ağ sunucusu hack olayının yaklaşık 250.918 kişiyi etkilediğini 10 Şubat’ta ABD Sağlık ve İnsani Hizmetler Departmanına bildirdi.

Siber güvenlik blogu DataBreaches.net geçen ay, Royal fidye yazılımı grubunun 13 Şubat’ta karanlık web sitesine Reventics’i eklediğini ve 16 GB’tan fazla dosya sızdırdığını bildirdi. Rapora göre Royal, bu dosyaların grubun sızdırdıklarının yalnızca %10’u olduğunu iddia ediyor.

Royal, hükümet yetkililerinden son zamanlarda yapılan birkaç uyarıya konu oldu. Geçen hafta, FBI ve ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi, grubun sağlık, üretim, iletişim ve eğitim dahil olmak üzere büyük sektörlerdeki kuruluşları hedef aldığına dair uyarıda bulunan ortak bir tavsiye yayınladı (bkz:: CISA, Kraliyet Fidye Yazılımının Steam’i Topladığı Konusunda Uyardı).

Ortak uyarı, daha önceki en az iki HHS tavsiyesini takip etti.

Aralık 2022’de yayınlanan bir HHS uyarısı, Kraliyet saldırganlarının 250.000 dolardan 2 milyon doların üzerine kadar fidye talep ederek özellikle ABD sağlık sektörünü vurmakla ilgilendiklerini gösteriyor.

HHS, “Bu olayların her birinde, tehdit aktörü kurbandan alındığı iddia edilen verilerin %100’ünü yayınladığını iddia etmiştir.” Kraliyet Fidye Yazılımı Sağlık Hizmetleri Hedeflerini Vuruyor ve Verileri Boşaltıyor).

İhlal Ayrıntıları

10 Şubat’ta Montana başsavcılığına gönderilen örnek bir ihlal bildirim mektubunda Reventics, 15 Aralık 2022’de sistemlerinde hassas bilgileri şifreleyen ve potansiyel olarak bunlara erişen bir siber davetsiz misafir de dahil olmak üzere “belirli anormallikler” tespit ettiğini söylüyor. şirketin sunucularında.

Reventics, web sitesinde yayınlanan bir duyuruda, adli tıp uzmanlarının 27 Aralık’ta davetsiz misafirin kişisel tanımlanabilir bilgilere ve korunan sağlık bilgilerine eriştiğini ve onları sızdırdığını belirlediğini söyledi.

Reventics, bu verilerin hastaların tam adlarını, doğum tarihlerini, Sosyal Güvenlik numaralarını, finansal bilgileri, sağlık hizmeti sağlayıcılarının adlarını ve adreslerini, sağlık planı adlarını, klinik bilgileri ve tıbbi prosedürler ve kişilere sağlanan hizmetler için kodları içerdiğini söylüyor.

Olayı tespit ettikten ve olası zararları azaltmak için Reventics, “etkilenen sistemlerin güvenliğini sağlamak ve olayı kontrol altına almak için derhal harekete geçtiğini” söylüyor. Reventics’in örnek bildirim mektubunda, şirketin “diğer paydaşlarını” bilgilendirdiği ve kolluk kuvvetlerine bildirimde bulunmasına yardımcı olması için uluslararası bir hukuk firmasıyla anlaştığı belirtiliyor.

Mektupta, “Olayın ardından ve sürekli olarak, Reventics dahili ekipleri, Reventics’in sistemlerini daha da güçlendirmek için üçüncü taraf siber güvenlik danışmanlarıyla özenle çalışmaya devam ediyor.”

Dava İddiaları

Önerilen toplu dava davası, diğer iddiaların yanı sıra, Reventics’in “temsili davacının ve sınıf üyelerinin PHI/PII’sinin korunmasını sağlamak için kasıtlı, kasıtlı, pervasızca veya ihmalkar bir şekilde yeterli ve makul önlemleri almadığını ve uygulamadığını” iddia ediyor.

Dava, ihlalin bir sonucu olarak, davacıların ve sınıf üyelerinin “anksiyete, duygusal sıkıntı, mahremiyet kaybı ve diğer ekonomik ve ekonomik olmayan kayıplar dahil ancak bunlarla sınırlı olmamak üzere çeşitli şekillerde yaralanma ve / veya zarara maruz kaldıklarını” iddia ediyor. ve kimlik hırsızlığı suçları, dolandırıcılık ve suistimal için kullanılan PHI/PII risklerinin devam etmesi.

Dava şikayetinde, Royal’e veya siber suç grubunun karanlık ağ sızıntı sitesinde göründüğü iddia edilen Reventics’in çalınan verilerinin raporlarına özel bir atıfta bulunulmuyor. Davacılar ve sınıf üyeleri, Reventics’in veri güvenliği uygulamalarındaki hasarlar ve iyileştirmeler dahil olmak üzere çare aramaktadır.

Ne Reventics ne de şirket aleyhine açılan davada davacıları temsil eden avukatlar, Bilgi Güvenliği Medya Grubu’nun olayla ilgili ek ayrıntı taleplerine ve dava hakkında yorum yapma taleplerine hemen yanıt vermedi.

Gelişen Dinamikler

Büyük bir veri ihlalinin bireysel kurbanlarının, çalıntı bilgilerinin bir karanlık web sızıntı sitesinde yayınlanmasını istemediklerini varsaymak güvenli olsa da, bu tür gelişmeler, potansiyel olarak veri güvenliği olaylarının ardından açılan davacı davalarını destekleyebilir. Bazı hukuk uzmanları, Reventics davasının böyle olduğunu söylüyor.

Hukuk firması Mandelbaum’un ortağı ve baş siber güvenlik hukuk yetkilisi avukat Steven Teppler, “Bir veri hırsızlığı kurbanının PHI’si karanlık ağda satış için listeleniyorsa, bu zararın Madde III açısından devam eden veya yakın olduğu iddialarını destekleyebilir.” Barrett PC.

Reventics davasında yer almayan Teppler, “PHI’nin özellikle hassas doğası nedeniyle, veri ihlali PHI satışı için karanlık ağ varlığı, bence kesinlikle zarar veya yaralanma bulmayı destekleyen argümanları destekliyor” dedi.

“Ayrıca, dark web satışları için sunulan finansal vb. gibi diğer kişisel olarak tanımlanabilir bilgi türlerinin aksine – PHI, yine benim görüşüme göre, her zaman yeşildir ve kurbanı kimlik hırsızlığına, tıbbi hizmetler hırsızlığına, diğer sosyal mühendisliğe maruz bırakır. çok uzun zaman.”

Öte yandan, “bilgilerin bir bilgisayar korsanlığı olayından sonra ‘kolayca erişilebilir’ karanlık ağda satışa çıkmamış olması, bunların daha özel sitelerde sunulmadığı veya yalnızca tehdit aktörü tarafından amaçları için kullanılmadığı anlamına gelmez. kurumsal casusluk gibi dahili amaçlar,” dedi Teppler.