Утечка данных Esse Health и урегулирование на 2.53 млн $ – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Esse Health выплатит 2.53 млн долларов по делу об утечке

Поставщик медицинских услуг Esse Health из Сент-Луиса согласился на урегулирование в размере 2.53 миллиона долларов по коллективному иску после утечки данных, затронувшей более 227 000 пациентов. Причиной инцидента стала фишинговая атака на сотрудника.

Медицинская компания Esse Health урегулировала коллективный иск на 2,53 миллиона долларов после утечки данных, затронувшей более 227 000 пациентов.

Обзор события

Esse Health, крупный поставщик медицинских услуг из Сент-Луиса, согласился на урегулирование коллективного иска на сумму 2,53 миллиона долларов. Иск был подан после крупной утечки данных в августе 2022 года, в результате которой была раскрыта личная и медицинская информация примерно 227 341 пациента. Это соглашение не является признанием вины со стороны компании, а рассматривается как шаг, направленный на избежание длительной и дорогостоящей судебной тяжбы. Утечка данных произошла в результате успешной фишинговой атаки на электронную почту сотрудника, что позволило киберпреступникам получить доступ к конфиденциальным данным пациентов.

Инцидент был обнаружен 29 августа 2022 года. Заметив подозрительную активность в учетной записи электронной почты одного из сотрудников, Esse Health немедленно начала расследование. Экспертиза показала, что неавторизованная третья сторона скомпрометировала учетные данные сотрудника с помощью фишинга, тем самым получив доступ к его электронной почте. Этот доступ позволил злоумышленникам просматривать электронные письма и вложения, содержащие защищенную медицинскую информацию (Protected Health Information, PHI) большого числа пациентов. После инцидента Esse Health столкнулась с необходимостью уведомить пострадавших и урегулировать юридические последствия. Данное соглашение направлено на предоставление некоторой компенсации жертвам и включает обязательство компании по усилению мер кибербезопасности в будущем.

Утекшие данные и масштаб

Масштаб утечки данных весьма значителен и затрагивает крайне конфиденциальную информацию. Согласно заявлению Esse Health, данные, к которым получили доступ злоумышленники, включают гораздо больше, чем просто основные демографические сведения. Раскрытые данные включают:

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →
  • Персональные идентификационные данные: Основные идентификаторы, такие как полные имена и даты рождения.
  • Информация о медицинском страховании: Номера полисов и данные о страховой компании.
  • Данные из медицинских карт: Номера медицинских карт и номера счетов пациентов.
  • Клиническая информация: Чрезвычайно личные и конфиденциальные медицинские данные, включая диагнозы, информацию о лечении, результаты лабораторных анализов и назначенные лекарства.
  • Финансовая информация: Для небольшой группы пострадавших пациентов в число утекших данных также вошли номера социального страхования (SSN) и информация о финансовых счетах.

Компрометация такой комбинации данных создает серьезные риски для жертв. Эти риски включают кражу личных данных, медицинскую кражу личных данных (когда кто-то другой использует вашу информацию для получения медицинских услуг), мошенничество со страховкой и целевые фишинговые атаки. Раскрытие информации, такой как диагнозы и лечение, также может быть использовано для более серьезных преступлений, например, шантажа. Компания подтвердила, что от этой утечки пострадал в общей сложности 227 341 человек.

Технический аспект атаки

В основе утечки данных в Esse Health лежит вектор кибератаки, известный как фишинг (phishing) — очень распространенный и эффективный метод. Фишинг — это техника социальной инженерии, при которой киберпреступники выдают себя за легитимное учреждение или лицо, чтобы обмануть свои цели. Обычно это осуществляется по электронной почте и предназначено для кражи конфиденциальных данных, таких как имена пользователей, пароли и данные кредитных карт, или для установки вредоносного ПО на систему жертвы.

В данном конкретном инциденте злоумышленники, вероятно, отправили сотруднику Esse Health электронное письмо, которое выглядело как сообщение от известного поставщика услуг (например, Microsoft 365, Google Workspace). В этом письме сотрудника могли попросить сбросить пароль, подтвердить свою учетную запись или открыть важный документ. Перейдя по ссылке в письме, сотрудник был перенаправлен на поддельную веб-страницу, очень похожую на легитимную страницу входа. Когда сотрудник ввел свое имя пользователя и пароль на этой мошеннической странице, учетные данные были отправлены напрямую злоумышленникам. Затем злоумышленники использовали эту информацию для входа в учетную запись электронной почты сотрудника как легитимный пользователь, получив неограниченный доступ ко всем данным внутри. Атаки такого типа обычно нацелены на человеческий фактор, а не на техническую уязвимость, что еще раз подчеркивает важность обучения кибербезопасности.

Кто пострадал

Непосредственно пострадавшими от этой утечки данных являются пациенты, которые получали или в настоящее время получают медицинские услуги от Esse Health. Согласно официальному заявлению компании, всего пострадал 227 341 пациент. В рамках урегулирования коллективного иска эти лица считаются «членами класса». К ним относятся все жители США, которые были уведомлены Esse Health об утечке данных 29 августа 2022 года или около этой даты.

Члены класса имеют право требовать компенсацию из фонда урегулирования при определенных условиях. Соглашение предлагает жертвам два варианта компенсации. Первый вариант — потребовать возмещение до 500 долларов за обычные личные расходы, понесенные из-за утечки. Эти расходы могут включать затраты на проверку кредитных отчетов, установку предупреждений о мошенничестве или банковские сборы. Второй вариант позволяет требовать до 5000 долларов за чрезвычайные расходы, возникшие в результате задокументированных случаев кражи личных данных или мошенничества. Кроме того, все члены класса имеют право на два года бесплатных услуг по мониторингу кредитной истории и защите от кражи личных данных.

Что вам следует делать

Если вы считаете, что пострадали от утечки данных в Esse Health, или получили уведомление, вам следует предпринять несколько важных шагов для защиты вашей личной и финансовой безопасности:

  • Воспользуйтесь преимуществами урегулирования: Если вы являетесь членом класса, обязательно активируйте предложенные бесплатные услуги по мониторингу кредитной истории. Эти услуги будут предупреждать вас о подозрительных действиях, таких как открытие нового счета на ваше имя. Также воспользуйтесь своим правом подать иск о возмещении любых расходов, понесенных из-за утечки.
  • Проверяйте свои счета: Регулярно отслеживайте свои банковские счета, выписки по кредитным картам и отчеты о выплатах от вашей медицинской страховой компании (Explanation of Benefits, EOB). Немедленно сообщайте о любых неузнанных или подозрительных транзакциях в соответствующее учреждение.
  • Смените пароли: Немедленно смените пароли для любых онлайн-порталов, связанных с Esse Health, и на любых других платформах, где вы используете похожие пароли. Используйте надежные и уникальные пароли.
  • Остерегайтесь фишинговых атак: Киберпреступники могут использовать утекшую информацию для отправки вам очень убедительных, персонализированных фишинговых писем. Избегайте перехода по ссылкам или загрузки вложений из неизвестных источников.
  • Рассмотрите возможность заморозки кредитной истории: В качестве более проактивной меры вы можете установить заморозку на свои кредитные отчеты в трех основных кредитных бюро (Equifax, Experian, TransUnion). Это не позволит никому открыть новый кредитный счет на ваше имя без вашего разрешения.

Заявление компании

В своих заявлениях после утечки данных и на протяжении всего судебного процесса Esse Health подчеркивала свою приверженность кибербезопасности. Компания заявила, что сразу после обнаружения инцидента она предприняла шаги для защиты учетной записи, определения масштаба атаки и предотвращения подобных событий в будущем. Эти шаги включали проведение всестороннего расследования с помощью внешних экспертов по кибербезопасности и пересмотр своих внутренних протоколов безопасности.

Что касается урегулирования коллективного иска, Esse Health особо отметила, что соглашение не является признанием вины или халатности. Компания заявила, что выбрала этот путь для разрешения юридического спора и избежания неопределенностей и расходов длительного судебного процесса. В рамках урегулирования Esse Health обязалась и дальше укреплять свои методы защиты данных. Ожидается, что эти обязательства будут включать усиление обучения сотрудников кибербезопасности, улучшение систем безопасности электронной почты и ужесточение контроля доступа к данным. Компания публично подтвердила, что защита конфиденциальности и безопасности данных пациентов остается одним из ее высших приоритетов.

Kaynak

https://www.hipaajournal.com/esse-health-data-breach-settlement/

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Windows 11 и Exchange взломаны на Pwn2Own 2026 Следующая статья → Центр Gandara урегулировал иск по делу об утечке данных

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.