Der US-Bundesstaat Nebraska hat den Gesundheitstechnologieriesen Change Healthcare wegen einer Reihe angeblicher Sicherheitslücken verklagt, die zu einem historischen Datenverstoß führten und sensible Gesundheitsinformationen von mindestens 100 Millionen Amerikanern preisgaben.
In eine Beschwerde wurde diese Woche eingereichtDer Generalstaatsanwalt von Nebraska, Mike Hilgers, sagt, Change Healthcare, ein Unternehmen von UnitedHealth, habe es versäumt, angemessene Sicherheitsmaßnahmen umzusetzen, was zu einer, wie er es nennt, „historischen“ Datenpanne hinsichtlich der Auswirkungen und des Ausmaßes geführt habe.
Das kommt, nachdem es war gab im Oktober bekannt, dass mehr als 100 Millionen Amerikaner Bei einem Ransomware-Angriff auf Change Healthcare im Februar wurden vertrauliche medizinische Daten gestohlen. Zu diesen Daten gehörten persönliche Informationen wie Adressen und Telefonnummern, Gesundheitsdaten einschließlich Diagnosen, Medikamente, Behandlungspläne sowie Finanz- und Bankdaten. Change Healthcare benachrichtigt weiterhin betroffene Personen über den Datenschutzverstoß und die endgültige Zahl wird voraussichtlich über 100 Millionen betragen.
Hilgers sagte in seiner Beschwerde, dass die „Versäumnisse von Change Healthcare, grundlegende Sicherheitsmaßnahmen umzusetzen“, das Ausmaß des Cyberangriffs verschärft hätten zugewiesen an die russischsprachige Ransomware-Bande ALPHV. In der Beschwerde wird behauptet, dass der Gesundheitstechnologieriese über schlecht segmentierte IT-Systeme verfügte, die es Hackern ermöglichten, frei zwischen Servern zu wechseln, und dass Change Healthcare keine Multi-Faktor-Authentifizierung auf seinen Systemen implementierte, was bedeutete, dass auf sie nur mit einem Benutzernamen und einem Passwort zugegriffen werden konnte . .
Die Beschwerde enthüllt auch einige bisher nicht gemeldete Informationen über den Vorfall, darunter neue Details, die zeigen, dass Hacker sich Zugang zum Netzwerk von Change Healthcare verschafft haben, indem sie den Benutzernamen und das Passwort eines „niedrigstufigen Kundendienstmitarbeiters“ verwendet haben, den Hilgers in einem Telegram gepostet haben soll Gruppe. Bekannt für den Verkauf gestohlener Zugangsdaten.
Mit dem Zugriff auf dieses „einfache Benutzerkonto“, das keinen Administratorzugriff hatte, behauptet Hilgers in seiner Beschwerde, dass Hacker in den Server eindringen konnten, auf dem sich die Medikamentenverwaltungs-App SelectRX von Change befindet. Von dort aus erstellten Hacker privilegierte Konten mit Administratorfunktionen, einschließlich der Möglichkeit, auf alle Dateien zuzugreifen und diese zu löschen.
„Mehr als neun Tage lang navigierte der Hacker unentdeckt durch die Systeme von Change, erstellte privilegierte Administratorkonten, installierte Malware und exfiltrierte Terabyte vertraulicher Daten“, heißt es in der Beschwerde und fügt hinzu, dass der Angriff erst erkannt wurde, als die Dateien verschlüsselt waren, was das Unternehmen sperrte aus eigenen Daten.
Hilgers verklagt Change Healthcare außerdem wegen des angeblichen Versäumnisses, betroffene Personen über den Datenverstoß zu informieren, von dem seiner Meinung nach mindestens 575.000 Einwohner Nebraskans betroffen waren. Hilgers sagt, der Staat habe seine eigene Bekanntmachung veröffentlicht um die Anwohner auf den Verstoß aufmerksam zu machen, da Change Healthcare die Betroffenen erst etwa fünf Monate nach dem Cyberangriff benachrichtigt hatte.
„Zum Zeitpunkt dieser Beschwerde ist der Bundesstaat Nebraska der Ansicht, dass die Beklagten viele betroffene Nebraskaner noch nicht schriftlich über den Verstoß informiert haben, wodurch die Bürger anfälliger für die Ausbeutung sensibler persönlicher, finanzieller, gesundheitlicher und identifizierender Informationen werden.“ , heißt es in der Beschwerde.
Der Generalstaatsanwalt von Nebraska fordert ein Gericht auf, Change Healthcare zur Zahlung von Schadensersatz zu verurteilen, „für den Schaden, der den Einwohnern von Nebraska und den Gesundheitsdienstleistern zugefügt wurde“, die laut Hilgers gezwungen waren, Pflege zu leisten, ohne eine Zahlung für Versicherungsansprüche zu erhalten.
Der Vorfall verursachte auch weitreichende Betriebsunterbrechungen, so dass die Patienten keine notwendigen Medikamente und Behandlungen erhielten.
Die Sprecherin von UnitedHealth, Katherine Wojtecki, sagte gegenüber TechCrunch: „Wir glauben, dass diese Klage unbegründet ist und beabsichtigen, uns energisch zu verteidigen.“ Das Unternehmen bekräftigte in seiner Erklärung, was es TechCrunch im Juli mitgeteilt hatte, dass sich die Überprüfung der von Change Healthcare gestohlenen Daten „in der Endphase“ befinde.
