Minkälaisia tietoja tietomurrossa paljastui?

Tietomurrossa paljastui suojattuja terveystietoja (PHI), mukaan lukien asiakastukipyynnoissä olleet tiedot, kuten resepteihin, lääkärinkonsultaatioihin ja henkilökohtaisiin terveydentiloihin liittyvät tiedot.

Miten hyökkääjät pääsivät käsiksi Himsin asiakastietoihin?

Uhkatoimijat saivat luvattoman pääsyn Himsin käyttämälle kolmannen osapuolen asiakastukialustalle sen sijaan, että olisivat murtautuneet suoraan yrityksen ydininfrastruktuuriin.

Mitä Himsin asiakkaiden tulisi tehdä tietomurron johdosta?

Himsin ja Hims & Hersin asiakkaiden tulisi olettaa, että asiakastukikanavien kautta jaetut tiedot ovat saattaneet paljastua, mukaan lukien nimi, yhteystiedot sekä tiedot lääkärinkonsultaatioista tai resepteistä.

Himsin tietomurto paljastaa arkaluonteisia terveystietoja

Q: Kuka otti vastuun Himsin tietomurrosta?

Hakkerointiryhmä ShinyHunters otti vastuun hyökkäyksestä. Ryhmä tunnetaan laajavaikutteisista tietovarkausoperaatioistaan ja se on yhdistetty useisiin merkittäviin tietomurtoihin viime vuosina.

Telelääketieteen jätti Hims joutui tietomurron kohteeksi – lääketieteellisiä tietoja paljastui

Telelääketieteen yritys Hims & Hers Health on vahvistanut tietomurron, joka paljasti joitakin arkaluonteisimmista henkilötietoluokista, joita yrityksellä voi olla hallussaan: suojatut terveystiedot (PHI). Murto tapahtui sen jälkeen, kun uhkatoimijat saivat luvattoman pääsyn yrityksen käyttämälle kolmannen osapuolen asiakastukilustalle. Paljastunut data sisälsi asiakastukipyyntöjen tietoja, jotka telelääketieteen kontekstissa tarkoittavat resepteihin, lääkärinkonsultaatioihin ja henkilökohtaisiin terveydentiloihin liittyviä tietoja.

Hakkerointiryhmä ShinyHunters on ottanut vastuun hyökkäyksestä. Ryhmä tunnetaan kyberturvallisuuspiireissä laajavaikutteisista tietovarkausoperaatioistaan, ja se on yhdistetty useisiin merkittäviin tietomurtoihin viime vuosina. Ryhmän osallisuus herättää välittömästi huolia siitä, mitä varastetulle datalle tapahtuu seuraavaksi – mukaan lukien kiristyksen, dark web -markkinoilla tapahtuvan jälleenmyynnin tai kohdennettujen tietojenkalastelukampanjoiden mahdollisuus vahingoittuneita käyttäjiä vastaan.

Miksi kolmannen osapuolen toimittajat ovat terveydenhuollon turvallisuuden heikko lenkki

Yksi tämän tietomurron tärkeimmistä yksityiskohdista on se, missä se tapahtui: ei Himsin ydininfrastruktuurissa, vaan kolmannen osapuolen asiakastukialustan kautta. Tästä on tullut yhä yleisempi ja yhä vakavampia seurauksia aiheuttava toimintamalli.

Suuret yritykset ulkoistavat rutiininomaisesti toimintoja, kuten asiakastuen, laskutuksen ja tiedontallennuksen, erikoistuneille toimittajille. Kukin näistä toimittajista laajennan yrityksen hyökkäyspintaa. Kun käyttäjä rekisteröityy telelääketieteen palveluun, hän ei luota tietojaan ainoastaan kyseiselle yritykselle. Hän luottaa ne myös kaikille toimittajille, urakoitsijoille ja ohjelmistontarjoajille, joiden kanssa yritys tekee yhteistyötä.

Tämä on erityisen ongelmallista terveydenhuollossa. Yhdysvaltain lainsäädännön mukaan PHI-tietoja käsittelevien yritysten on varmistettava, että niiden liikekumppanit ja toimittajat täyttävät HIPAA-vaatimustenmukaisuusstandardit. Vaatimustenmukaisuus paperilla ei kuitenkaan aina tarkoita tehokasta tietoturvaa käytännössä. Hyvin resursoitu yritys kuten Hims voi investoida voimakkaasti omaan puolustukseensa, mutta silti jäädä alttiiksi heikomman suojaustason omaavan toimittajan kautta.

Himsin tietomurto ei ole yksittäistapaus. Terveydenhuolto- ja telelääketieteen yritykset ovat nousseet ensisijaisiksi kohteiksi juuri siksi, että niiden hallussa oleva data on niin arvokasta. Lääketieteelliset tiedot saavat rikollismarkkinoilla huomattavasti korkeamman hinnan kuin luottokorttinumerot, koska ne sisältävät tietoja, joita ei voida helposti muuttaa ja joita voidaan käyttää vakuutuspetoksiin, identiteettivarkauksiin ja kohdennettuun manipulointiin.

Mitä tämä tarkoittaa sinulle

Jos olet Himsin tai Hims & Hersin asiakas, sinun tulisi olettaa, että asiakastukikanavien kautta jakamasi tiedot ovat saattaneet paljastua. Tähän voi sisältyä nimesi, yhteystietosi sekä tiedot lääkärinkonsultaatioista tai resepteistä, joita olet käsitellyt tukitiimin kanssa.

Laajemmin ajatellen tämä tietomurto on hyödyllinen muistutus riskeistä, jotka liittyvät arkaluonteisten henkilötietojen tallentamiseen keskitettyihin järjestelmiin. Telelääketieteen alustat on rakennettu mukavuuden ympärille, ja tuo mukavuus tarkoittaa usein terveystietojesi yhdistämistä tavoilla, jotka tekevät niistä houkuttelevia kohteita hyökkääjille. Mitä enemmän dataa yrityksellä on hallussaan ja mitä useampien toimittajien kanssa se jakaa tuon datan, sitä laajemmat mahdolliset vahingot ovat, kun jotain menee pieleen.

Tämä ei tarkoita, että sinun pitäisi välttää telelääketieteen palveluita. Monille ihmisille ne tarjoavat pääsyn hoitoon, joka muutoin olisi vaikea tai kallis hankkia. Se kuitenkin tarkoittaa, että sinun tulisi harkita huolellisesti, mitä tietoja jaat millä tahansa digitaalisella terveydenhuollon alustalla – mukaan lukien tukipyyntojen ja chat-toimintojen kautta, jotka saatetaan tallentaa ja käsitellä yrityksen ensisijaisten järjestelmien ulkopuolella.

Konkreettiset toimenpiteet terveystietojen tietomurron jälkeen

Jos käytät Hims & Hersiä tai vastaavaa telelääketieteen alustaa, tässä on joitakin konkreettisia toimenpiteitä, jotka kannattaa tehdä heti:

Tarkkaile tietojenkalasteluyrityksiä. Hyökkääjät, jotka saavat haltuunsa terveyteen liittyviä tietoja, käyttävät niitä usein erittäin vakuuttavien tietojenkalasteluviestien luomiseen. Suhtaudu skeptisesti kaikkiin ei-toivottuihin sähköposteihin tai viesteihin, joissa viitataan terveydentilaasi, lääkitykseesi tai aiempiin yhteydenottoihisi alustan kanssa.
Tarkista tilisi. Käy läpi Hims-tilisi ja kaikki siihen liitetyt maksutavat epätavallisen toiminnan varalta. Ilmoita kaikesta epäilyttävästä sekä alustalle että rahoituslaitoksellesi.
Seuraa identiteettipetoksia. Lääketieteellinen identiteettivarkaus – jossa joku käyttää tietojasi saadakseen petollisesti reseptejä tai vakuutusetuuksia – voi olla vaikea havaita. Harkitse petosvaroituksen asettamista suurille luottotietorekistereille ja seuraa vakuutuslaskujasi palveluiden varalta, joita et ole saanut.
Rajoita tukipyynnoissä jakamiasi tietoja. Jatkossa ole tietoinen siitä, että minkä tahansa yrityksen asiakastukikanavia saattavat hoitaa kolmannen osapuolen toimittajat, joilla on oma tietoturvatasonsa. Vältä jakamasta enemmän tietoja kuin on välttämättä tarpeen.
Pysy ajan tasalla tietomurrosta. Seuraa Himsin virallisia tiedotteita tapauksen laajuudesta ja mahdollisista korjaavista toimenpiteistä, kuten luotonseurantapalveluista.

Tietomurrot terveydenhuollon yrityksissä eivät tule loppumaan. Kun yhä useammat terveyspalvelut siirtyvät verkkoon, digitaalisten alustojen hallussa olevien arkaluonteisten lääketieteellisten tietojen määrä kasvaa entisestään. Näiden palvelujen huolellinen ja tietoinen käyttäminen on yksi tehokkaimmista tavallisten ihmisten käytettävissä olevista suojautumiskeinoista. Ymmärtäminen siitä, kenellä on tietosi hallussaan ja mitä he niillä tekevät, on kohtuullinen lähtökohta itsensä suojaamiselle.

Telelääketieteen jätti Hims joutui tietomurron kohteeksi – lääketieteellisiä tietoja paljastui

Miksi kolmannen osapuolen toimittajat ovat terveydenhuollon turvallisuuden heikko lenkki

Mitä tämä tarkoittaa sinulle

Konkreettiset toimenpiteet terveystietojen tietomurron jälkeen

// UKK

// Aiheeseen liittyvät