Datavant выплатит 900 000 долларов по мировому соглашению об утечке данных – Veri Sızıntısı
Live
Поиск
Компания
О нас Слово основателя Пресса и СМИ Политика конфиденциальности Условия использования FAQ Пресс-кит
Продукты
HUBOne HUBCorp Скоро Veri Sızıntısı Android Скоро Veri Sızıntısı iOS Скоро Veri Sızıntısı Huawei Скоро Breach Radar Argus Flow Argus Engine LivePlatform
Технологии
Что такое Argus AI? Попробовать в HUBOne Что такое Argus Flow? Что такое Argus Engine?
Блог Контакты

Datavant заплатит $900 000 по иску об утечке данных

Гигант в области медицинских данных Datavant Group согласился на мировое соглашение в размере 900 000 долларов для урегулирования коллективного иска, связанного с утечкой данных, в результате которой была раскрыта защищенная медицинская информация (PHI) тысяч пациентов.

Логотип Datavant Group на фоне статьи о выплате 900 000 долларов по иску об утечке данных.

Что произошло

Datavant Group, крупный игрок в сфере медицинских технологий и анализа данных, решил раскошелиться, чтобы прекратить затянувшийся коллективный иск. Компания согласилась на создание фонда урегулирования в размере 900 000 долларов для истцов по делу, возбужденному из-за утечки данных, которая, как утверждается, привела к раскрытию конфиденциальной медицинской информации тысяч пациентов. Этот шаг рассматривается как попытка избежать долгой и потенциально более дорогостоящей судебной тяжбы. Хотя соглашение еще должно получить окончательное одобрение суда, тот факт, что стороны в принципе договорились, указывает на то, что инцидент близится к завершению для пострадавших.

Так как же мы до этого дошли? Все началось с уязвимости в системах безопасности, обнаруженной в Datavant. Истцы утверждали, что компания не приняла разумных мер кибербезопасности для предотвращения проникновения злоумышленников в их сеть и получения доступа к сугубо личной защищенной медицинской информации (PHI). Подобные иски обычно включают обвинения в халатности, нарушении контракта и неосновательном обогащении. По мнению истцов, Datavant не выполнила свой долг перед людьми, чьи данные она была обязана защищать. Однако компания отрицает эти обвинения. В своем заявлении они отметили, что считают свои системы безопасности адекватными, но выбрали это мировое соглашение, чтобы избежать временных и финансовых затрат на судебное разбирательство. Это обычная юридическая позиция в делах такого рода; компании предпочитают закрывать вопрос, не признавая вины. Этот фонд в 900 000 долларов будет использован для возмещения физическим лицам личных расходов, понесенных в результате утечки, а также для компенсации времени, потраченного на устранение последствий. Так что, если вам пришлось купить услугу кредитного мониторинга или часами висеть на телефоне с банком из-за этого, вы можете получить часть этих средств.

Какие данные были скомпрометированы

Что искали киберпреступники? Короче говоря, нашу самую личную информацию. Согласно судебным документам, украденные данные включают широкий спектр личной и медицинской информации, защищенной в соответствии с законом HIPAA (Закон о преемственности и подотчетности медицинского страхования). Это гораздо больше, чем простая утечка электронной почты. Давайте посмотрим, насколько конфиденциален этот список:

Ваш email в утечке? Проверьте бесплатно — результат за секунды.

Проверить →
  • Полные имена и адреса: Краеугольные камни вашей личности.
  • Даты рождения: Еще один ключевой элемент информации, часто используемый при краже личных данных.
  • Номера социального страхования (SSN): Возможно, самый важный элемент данных. Как только ваш SSN скомпрометирован, на ваше имя могут быть открыты кредитные карты и поданы мошеннические налоговые декларации.
  • Номера медицинских карт: Ваш уникальный идентификатор в системе здравоохранения.
  • Информация о медицинском страховании: Включая номера полисов и групповую информацию. С ее помощью мошенники могут подавать ложные заявки на медицинские услуги по вашей страховке.
  • Информация о диагнозах и лечении: Это, пожалуй, самая интимная часть. Чрезвычайно личные данные, такие как перенесенные вами заболевания, полученное лечение и используемые лекарства. Раскрытие такой информации может иметь разрушительные последствия не только в финансовом, но и в личном и профессиональном плане.

Совокупность этих данных — настоящая сокровищница для киберпреступников. Это явление известно как «кража медицинской личности». Кто-то может использовать вашу информацию для получения медицинских услуг на ваше имя, получения рецептов, и все это будет занесено в вашу медицинскую карту. Эта ситуация может поставить под угрозу ваше будущее медицинское обслуживание; например, это может привести к неверной записи вашей группы крови или аллергий. Вот почему эта утечка несет в себе глубокие и долгосрочные риски, которые нельзя устранить простой сменой пароля.

Как произошла атака

Datavant хранит молчание относительно технических деталей атаки. В судебных документах и публичных заявлениях нет четкого объяснения того, как именно киберпреступники проникли в их сеть. Это часто является частью стратегии по защите текущих улучшений безопасности или репутации компании. Однако, основываясь на нашем опыте в мире кибербезопасности и аналогичных случаях, мы можем рассмотреть несколько вероятных сценариев.

Один из самых распространенных сценариев — это фишинговая атака. Сотрудник, перешедший по ссылке в поддельном, но правдоподобно выглядящем электронном письме или открывший вложение, может предоставить злоумышленникам первоначальную точку входа в сеть. После этого первого шага злоумышленники перемещаются по сети горизонтально, чтобы получить больше привилегий и доступа к данным. Компании в секторе здравоохранения могут быть особенно уязвимы для такого рода атак социальной инженерии из-за их напряженных рабочих процессов.

Другая серьезная возможность — это неисправленная уязвимость. Обнаруженные в программном обеспечении или на серверах, используемых компаниями, недостатки безопасности оставляют открытую дверь для злоумышленников. Если Datavant своевременно не исправила известную уязвимость в стороннем программном обеспечении или в своих собственных системах, злоумышленники могли этим воспользоваться. Не стоит забывать, как уязвимости в программах для передачи файлов, таких как MOVEit, приводили к массовым утечкам в последние годы. Компании, подобные Datavant, обрабатывающие большие объемы данных, активно используют такие инструменты.

Наконец, неправильно настроенные облачные серверы также являются распространенной проблемой. Оставление данных в общедоступном облачном хранилище без шифрования или защиты паролем может позволить получить к ним доступ даже с помощью простого сканирования в интернете. Хотя это и не является прямым «взломом», это раскрытие данных из-за халатности, которое влечет за собой столь же серьезные юридические последствия. Нежелание Datavant объяснять, как именно произошло событие, наводит на мысль, что любой из этих сценариев, или их комбинация, может быть правдоподобным.

Кто пострадал

Жертвы этой утечки данных — это не прямые клиенты Datavant. Это очень важный момент. Datavant — это B2B (бизнес-для-бизнеса) компания, которая предоставляет услуги по управлению данными и аналитике больницам, клиникам, страховым компаниям и другим медицинским организациям. Так что, вы, вероятно, никогда раньше не слышали название Datavant, но кабинет вашего врача или ваша страховая компания использовали их услуги для обработки ваших данных.

Следовательно, пострадавшие — это пациенты тех медицинских организаций, которые пользовались услугами Datavant. Эта ситуация является прекрасным примером того, что в кибербезопасности называется «риском цепочки поставок». Вы доверяете свои данные своей больнице, но эта больница работает с другой компанией для обработки этих данных. Если у этой сторонней компании происходит утечка, ваши данные также оказываются под угрозой. Вот почему класс истцов по этому делу состоит из пациентов, которые получали услуги от поставщиков медицинских услуг, бывших клиентами Datavant в определенный период. Если вы получили уведомление по почте или электронной почте об этом иске, вы, вероятно, входите в эту группу. В документах по урегулированию четко определено, кто имеет право на получение компенсации, и это, как правило, включает лиц, чьи данные находились в системах Datavant на момент утечки.

Что вы можете сделать

Если вы считаете, что пострадали от этой утечки данных, или получили уведомление, есть конкретные шаги, которые вы можете предпринять, вместо того чтобы просто ждать. Вот что вам следует сделать, помимо банального совета «смените пароль», что специфично для данной ситуации:

  1. Проверьте веб-сайт мирового соглашения: У коллективных исков обычно есть свои официальные веб-сайты. На этом сайте вы можете проверить, входите ли вы в класс истцов, и получить доступ к необходимым формам для подачи иска. Вы можете найти этот сайт, выполнив поиск по запросу «Datavant class action settlement».
  2. Подайте иск (заполните форму иска): Чтобы получить долю из фонда урегулирования, вам необходимо заполнить форму иска до истечения крайнего срока. В этой форме вас могут попросить документально подтвердить ваши расходы, понесенные из-за утечки. Например, вы можете потребовать возмещения сборов за замораживание ваших кредитных отчетов, денег, уплаченных юристам или консультантам для решения проблемы кражи личных данных, или за время, которое вы потратили на решение этих проблем (обычно по определенной почасовой ставке). Сохраняйте свои документы (счета, квитанции).
  3. Просмотрите свои медицинские записи и выписки из страховой компании: Это самый важный шаг. Внимательно изучите документы «Объяснение льгот» (Explanation of Benefits - EOB) от вашей страховой компании. Есть ли там какие-либо процедуры, которые вы не проходили, врачи, которых вы не посещали, или лекарства, которые вам не выписывали? Если вы заметите какие-либо подозрительные записи в своих медицинских картах, немедленно свяжитесь с вашим поставщиком медицинских услуг и страховой компанией. Кража медицинской личности — это проблема, которую трудно исправить.
  4. Установите заморозку на свои кредитные отчеты: Это более сильная мера, чем предупреждение о мошенничестве. Вы можете связаться с тремя основными кредитными бюро (Equifax, Experian, TransUnion), чтобы заморозить свои отчеты. Это делает практически невозможным открытие нового кредитного счета на ваше имя без вашего разрешения. Эта процедура обычно бесплатна, и вы можете временно снять ее при необходимости.

Что говорит компания

Datavant Group придерживалась последовательной позиции на протяжении всего судебного процесса и в заявлении о мировом соглашении. Компания категорически отрицает любые обвинения в неправомерных действиях или халатности. Это стандартная процедура в мировых соглашениях по коллективным искам, известная как оговорка «без признания вины». С помощью этой оговорки компании могут прекратить судебное разбирательство, не допуская использования этого соглашения в качестве доказательства против них в любых возможных будущих делах.

Представитель компании заявил: «Безопасность данных и конфиденциальность наших клиентов являются нашими высшими приоритетами. Мы считаем, что наши системы всегда были надежными и соответствовали отраслевым стандартам. Однако, учитывая отвлекающие факторы и расходы, которые повлекло бы за собой продолжение судебного разбирательства, мы решили, что достижение мирового соглашения с истцами является наиболее конструктивным путем для всех сторон. Это соглашение не является признанием какой-либо вины». Они также добавили, что с момента инцидента сделали дополнительные инвестиции для дальнейшего укрепления своей инфраструктуры кибербезопасности и ужесточили процессы аудита. Такие заявления тщательно продуманы, чтобы защитить свою юридическую позицию и донести до нынешних и потенциальных клиентов, что они серьезно относятся к вопросам безопасности.

Источник

https://www.hipaajournal.com/datavant-group-class-action-data-breach-settlement/

Поделиться статьёй
X LinkedIn WhatsApp
← Предыдущая статья Частная разведка слила 48 миллионов записей Следующая статья → Как Были Раскрыты Данные Одного Миллиона Человек

Еженедельная рассылка

Отборные новости об утечках данных каждую неделю в вашем почтовом ящике.