Esse Health Datenpanne Details zum 2,53 Mio. $ Vergleich – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Esse Health zahlt 2,53 Mio. $ nach Datenpanne

Der Gesundheitsdienstleister Esse Health aus St. Louis hat einem Vergleich in Höhe von 2,53 Millionen US-Dollar zugestimmt, um eine Sammelklage nach einer Datenpanne beizulegen, von der über 227.000 Patienten betroffen waren. Die Panne wurde durch einen Phishing-Angriff auf einen Mitarbeiter verursacht.

Der Gesundheitsdienstleister Esse Health aus St. Louis hat eine Sammelklage für 2,53 Millionen US-Dollar beigelegt, nachdem eine Datenpanne 227.000 Patienten betraf.

Zusammenfassung des Vorfalls

Esse Health, ein bedeutender Gesundheitsdienstleister mit Sitz in St. Louis, hat einem Vergleich in Höhe von 2,53 Millionen US-Dollar zugestimmt, um eine Sammelklage beizulegen, die nach einer großen Datenpanne im August 2022 eingereicht wurde. Der Vorfall führte zur Offenlegung der persönlichen und gesundheitlichen Informationen von etwa 227.341 Patienten. Diese Vereinbarung stellt kein Schuldeingeständnis des Unternehmens dar, wird aber als Schritt gesehen, um einen langwierigen und kostspieligen Rechtsstreit zu vermeiden. Das Datenleck entstand durch einen erfolgreichen Phishing-Angriff auf das E-Mail-Konto eines Mitarbeiters, der Cyberkriminellen den Zugriff auf sensible Patientendaten ermöglichte.

Die Sicherheitsverletzung wurde am 29. August 2022 entdeckt. Als Esse Health verdächtige Aktivitäten im E-Mail-Konto eines Mitarbeiters bemerkte, wurde umgehend eine Untersuchung eingeleitet. Die forensische Analyse ergab, dass ein unbefugter Dritter die Anmeldeinformationen des Mitarbeiters durch einen Phishing-Betrug kompromittiert und sich so Zugang zum E-Mail-Konto verschafft hatte. Dieser Zugriff ermöglichte es den Angreifern, auf E-Mails und Anhänge innerhalb des Kontos zuzugreifen, die geschützte Gesundheitsinformationen (Protected Health Information, PHI) einer großen Anzahl von Patienten enthielten. Nach dem Vorfall sah sich Esse Health mit der Verantwortung konfrontiert, die betroffenen Personen zu benachrichtigen und die rechtlichen Konsequenzen zu bewältigen. Dieser Vergleich zielt darauf ab, den Opfern eine Entschädigung zu bieten und beinhaltet die Verpflichtung des Unternehmens, seine zukünftigen Cybersicherheitsmaßnahmen zu verstärken.

Geleakte Daten und Umfang

Das Ausmaß der Datenpanne ist erheblich und betrifft äußerst sensible Informationen. Laut der Erklärung von Esse Health umfassen die Daten, auf die die Angreifer zugegriffen haben, weit mehr als nur grundlegende demografische Details. Die offengelegten Daten umfassen:

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →
  • Persönlich identifizierbare Informationen (PII): Grundlegende Identifikatoren wie vollständige Namen und Geburtsdaten.
  • Krankenversicherungsinformationen: Versicherungsnummern und Details zum Versicherungsanbieter.
  • Informationen aus Krankenakten: Krankenaktennummern und Patientenkontonummern.
  • Klinische Informationen: Äußerst private und sensible Gesundheitsdaten, einschließlich Diagnosen, Behandlungsinformationen, Laborergebnisse und verschriebene Medikamente.
  • Finanzielle Informationen: Für eine kleine Untergruppe der betroffenen Patienten gehörten auch Sozialversicherungsnummern (SSNs) und Finanzkontoinformationen zu den geleakten Daten.

Die Kompromittierung einer solchen Kombination von Daten stellt für die Opfer ernsthafte Risiken dar. Zu diesen Risiken gehören Identitätsdiebstahl, medizinischer Identitätsdiebstahl (wobei jemand anderes Ihre Informationen nutzt, um Gesundheitsleistungen zu erhalten), Versicherungsbetrug und gezielte Phishing-Angriffe. Die Offenlegung von Informationen wie Diagnosen und Behandlungen könnte auch für schwerwiegendere Verbrechen wie Erpressung genutzt werden. Das Unternehmen bestätigte, dass insgesamt 227.341 Personen von dieser Verletzung betroffen waren.

Technischer Aspekt des Angriffs

Der Cyberangriffsvektor, der der Datenpanne bei Esse Health zugrunde liegt, war ein Phishing-Angriff, eine sehr verbreitete und effektive Methode. Phishing ist eine Social-Engineering-Technik, bei der sich Cyberkriminelle als legitime Institution oder Person ausgeben, um ihre Ziele zu täuschen. Dies geschieht typischerweise per E-Mail und zielt darauf ab, sensible Daten wie Benutzernamen, Passwörter und Kreditkartendetails zu stehlen oder Malware auf dem System des Opfers zu installieren.

In diesem speziellen Fall haben die Angreifer wahrscheinlich eine E-Mail an einen Mitarbeiter von Esse Health gesendet, die anscheinend von einem bekannten Dienstanbieter (z. B. Microsoft 365, Google Workspace) stammte. In dieser E-Mail wurde der Mitarbeiter möglicherweise aufgefordert, sein Passwort zurückzusetzen, sein Konto zu verifizieren oder ein wichtiges Dokument zu öffnen. Nach dem Klicken auf einen Link in der E-Mail wurde der Mitarbeiter auf eine gefälschte Webseite weitergeleitet, die einer legitimen Anmeldeseite sehr ähnlich sah. Als der Mitarbeiter seinen Benutzernamen und sein Passwort auf dieser betrügerischen Seite eingab, wurden die Anmeldeinformationen direkt an die Angreifer gesendet. Die Angreifer nutzten diese Informationen dann, um sich als legitimer Benutzer in das E-Mail-Konto des Mitarbeiters einzuloggen und uneingeschränkten Zugriff auf alle darin enthaltenen Daten zu erhalten. Diese Art von Angriff zielt typischerweise auf den menschlichen Faktor und nicht auf eine technische Schwachstelle ab, was die Bedeutung von Cybersicherheitsschulungen erneut unterstreicht.

Wer sind die betroffenen Benutzer

Direkt von dieser Datenpanne betroffen sind Patienten, die Gesundheitsdienstleistungen von Esse Health erhalten haben oder derzeit erhalten. Laut der offiziellen Erklärung des Unternehmens waren insgesamt 227.341 Patienten betroffen. Im Rahmen des Sammelklagevergleichs gelten diese Personen als „Klassenmitglieder“. Dies schließt alle Einwohner der USA ein, die von Esse Health am oder um den 29. August 2022 über die Datenpanne informiert wurden.

Klassenmitglieder haben unter bestimmten Bedingungen Anspruch auf eine Entschädigung aus dem Vergleichsfonds. Die Vereinbarung bietet den Opfern zwei verschiedene Entschädigungsoptionen. Die erste Option besteht darin, eine Erstattung von bis zu 500 US-Dollar für gewöhnliche Auslagen zu beantragen, die durch die Verletzung entstanden sind. Diese Ausgaben können Kosten für die Überprüfung von Kreditauskünften, die Einrichtung von Betrugswarnungen oder Bankgebühren umfassen. Die zweite Option ermöglicht Ansprüche von bis zu 5.000 US-Dollar für außerordentliche Ausgaben, die aus dokumentierten Fällen von Identitätsdiebstahl oder Betrug resultieren. Darüber hinaus haben alle Klassenmitglieder Anspruch auf zwei Jahre kostenlose Kreditüberwachungs- und Identitätsdiebstahlschutzdienste.

Was sollten Sie tun

Wenn Sie glauben, von der Datenpanne bei Esse Health betroffen zu sein oder eine Benachrichtigung erhalten haben, sollten Sie mehrere wichtige Schritte unternehmen, um Ihre persönliche und finanzielle Sicherheit zu schützen:

  • Nutzen Sie die Vergleichsvorteile: Wenn Sie ein Klassenmitglied sind, aktivieren Sie unbedingt die angebotenen kostenlosen Kreditüberwachungsdienste. Diese Dienste warnen Sie bei verdächtigen Aktivitäten, wie z. B. der Eröffnung eines neuen Kontos in Ihrem Namen. Machen Sie auch von Ihrem Recht Gebrauch, einen Anspruch für alle Kosten geltend zu machen, die Ihnen durch die Verletzung entstanden sind.
  • Überprüfen Sie Ihre Konten: Überwachen Sie regelmäßig Ihre Bankkonten, Kreditkartenabrechnungen und Leistungsabrechnungen (Explanation of Benefits, EOB) Ihrer Krankenversicherung. Melden Sie alle nicht erkannten oder verdächtigen Transaktionen unverzüglich dem jeweiligen Institut.
  • Ändern Sie Ihre Passwörter: Ändern Sie sofort die Passwörter für alle Online-Portale im Zusammenhang mit Esse Health und auf allen anderen Plattformen, auf denen Sie ähnliche Passwörter verwenden. Stellen Sie sicher, dass Sie starke, einzigartige Passwörter verwenden.
  • Seien Sie vorsichtig bei Phishing-Versuchen: Cyberkriminelle könnten Ihre geleakten Informationen nutzen, um Ihnen sehr überzeugende, personalisierte Phishing-E-Mails zu senden. Vermeiden Sie es, auf Links zu klicken oder Anhänge aus unbekannten Quellen herunterzuladen.
  • Erwägen Sie eine Kreditsperre: Als proaktivere Maßnahme können Sie eine Sicherheitssperre für Ihre Kreditauskünfte bei den drei großen Kreditauskunfteien (Equifax, Experian, TransUnion) einrichten. Dies verhindert, dass jemand ohne Ihre Erlaubnis eine neue Kreditlinie in Ihrem Namen eröffnet.

Stellungnahme des Unternehmens

In seinen Erklärungen nach der Datenpanne und während des gesamten Rechtsverfahrens hat Esse Health sein Engagement für die Cybersicherheit betont. Das Unternehmen gab an, dass es unmittelbar nach der Entdeckung des Vorfalls Maßnahmen ergriffen habe, um das Konto zu sichern, das Ausmaß des Angriffs zu bestimmen und ähnliche Vorfälle in Zukunft zu verhindern. Zu diesen Schritten gehörten die Durchführung einer umfassenden Untersuchung mit Hilfe externer Cybersicherheitsexperten und die Überprüfung seiner internen Sicherheitsprotokolle.

In Bezug auf den Sammelklagevergleich hat Esse Health ausdrücklich darauf hingewiesen, dass die Vereinbarung kein Eingeständnis von Schuld oder Fahrlässigkeit darstellt. Das Unternehmen erklärte, dass es diesen Weg gewählt habe, um einen Rechtsstreit beizulegen und die Unsicherheiten und Kosten eines langwierigen Gerichtsverfahrens zu vermeiden. Als Teil des Vergleichs hat sich Esse Health verpflichtet, seine Datensicherheitspraktiken weiter zu stärken. Es wird erwartet, dass diese Verpflichtungen die Verbesserung der Cybersicherheitsschulungen für Mitarbeiter, die Optimierung der E-Mail-Sicherheitssysteme und die Verschärfung der Datenzugriffskontrollen umfassen. Das Unternehmen hat öffentlich bekräftigt, dass der Schutz der Privatsphäre und Sicherheit von Patientendaten eine seiner höchsten Prioritäten bleibt.

Kaynak

https://www.hipaajournal.com/esse-health-data-breach-settlement/

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Windows 11 und Exchange bei Pwn2Own 2026 gehackt Nächster Beitrag → Gandara Zentrum für psychische Gesundheit legt Klage bei

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.