Súlyos adatvesztést szenvedett a Healthcare.gov

Az Egyesült Államokban korábban nagy viták közepette bevezetett Medicare és Medicaid Szolgáltatási Központ 2018. október 13-án bejelentette, hogy a szolgáltatás fő belépési pontjának (Healthcare.gov) adatbázisában behatolást fedezett fel. A kezdeti jelentés csak kismértékű adatvesztésről szólt az "Obamacare" néven elhíresült szolgáltatással kapcsolatban, azonban úgy tűnik, hogy súlyosabb a helyzet. Amint azt a Centers for Medicare & Medicaid Services (CMS) 2018. október 19-én bejelentette, a Healthcare.gov egyik alrendszerében (amelyen keresztül biztosítás-közvetítők fértek hozzá a rendszerben tárolt adatokhoz) "működési anomáliát" fedezett fel. A CMS akkori jelentése szerint 75 ezer személy adataihoz férhettek hozzá ismeretlen behatolók, azonban nem közölte, hogy milyen adatok lehettek érintettek. A kiadott sajtóközlemény szerint "a CMS követte a standard és megfelelő biztonsági és kockázati protokollokat az incidens kivizsgálása és bejelentése során". A CMS biztosította az érintetteket, hogy "azonnali lépéseket tett a rendszer és az ügyféladatok biztosítása érdekében", továbbá "aktívan és elkötelezetten segít az esetlegesen érintetteknek".

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Az eset azonban súlyosabb lehet, mint azt az eredeti CMS sajtóközlemény és értesülések sugallták, az értesülések már több mint 93 ezer érintettről szólnak. Továbbá a CMS egy levélben közvetlenül értesítette az érintetteket az adatvesztés jellegéről és mértékéről, amely szerint a támadók jogosulatlanul hozzáfértek egy sor biztosításközvetítő és biztosítási ügynök bejelentkezési adataihoz, és "nagyon részletes kereséseket" indítottak a kormányzati egészségügyi piaci rendszerek adatbázisaiban.

Az adatvesztés az egyes személyek számos érzékeny adatát is érintette, mint például a nevet, születési időt, lakcímet, nemet, társadalombiztosítási szám utolsó négy számjegyét. Továbbá a várható éves jövedelmet, az adóbevallási státuszt, a munkáltatói adatokat, a családi kapcsolatokat és hogy várandós-e az érintett felhasználó. Ezenkívül, hogy a személy állampolgár vagy pedig bevándorló, és ha bevándorló, akkor a bevándorlási iratoknak mi a típusa és a száma.

A levél szerint az ellopott adatok között nem voltak közvetlen banki adatok. Az ilyen adatvesztések azonban komoly veszélynek teszik ki az érintetteket, hiszen a személyes adatok birtokában bárki kiadhatja magát egy másik személynek. Az Egyesült Államokban nincs központi személyi igazolvány, ezért az említett adatok illetéktelen kézbe jutása külön veszélyeket hordoz. Ezenkívül előfordulhat, hogy a támadók célzott phishing támadással az érintett személytől további adatokat, akár banki adatokat csalhatnak ki.

A CMS számára különösen rosszkor jött a támadás, és nem is ez volt az első. A folyamatos politikai támadások kereszttüzében álló intézmény szerverein már indulásakor, 2014-ben is találtak malware-t, amely azonban az akkori jelentések szerint elsősorban DDOS támadások célját szolgálta és nem volt alkalmas adatlopásra. A mostani eset azonban további érveket ad azon csoportoknak, akik - egyebek között - adatbiztonsági kockázatot látnak a HealthCare.gov-ban. A CMS a jövő hétre ígért további információkat az esettel kapcsolatosan.

A szerző dr. Muraközi Gergely, a Dr. Bakos – Dr. Smied – Dr. Muraközi Ügyvédi Iroda ügyvédje.