Киберпреступники, совершившие атаку на канадскую компанию CarePartners, утверждают, что у них на руках остаются персональные, медицинские и финансовые данные сотен тысяч пациентов. Если CarePartners откажется заплатить злоумышленникам за «устранение брешей в безопасности», вся эта информация окажется в открытом доступе.

Медицинское учреждение, предоставляющую услуги по уходу за больными на дому, объявило о кибератаке 18 июня. Тогда компания заявила, что преступники получили доступ к данным 627 пациентов и 886 сотрудников. В руки злоумышленников попали номера телефонов, адреса, даты рождения, номера страховых полисов и истории болезней клиентов CarePartners.

Несколько дней назад преступники связались с CBC News и предоставили образцы похищенных сведений — 80 000 записей из базы данных CarePartners, самые ранние из которых датированы 2010 годом. Помимо этого, вымогатели прислали отдельный файл с актуальными реквизитами 140 платежных карт, включая CVV-коды.

Злоумышленники утверждают, что доля вины лежит и на самой организации: преступники воспользовались уязвимостями в программном обеспечении, которое в CarePartners не обновляли два года. Благодаря брешам и слабым паролям киберпреступники смогли, по их словам, незаметно похитить «сотни гигабайт» информации. Злоумышленники также заявили, что «данные не были зашифрованы, а при желании их кражу можно было легко предотвратить».

Согласно законодательству провинции Онтарио, организации здравоохранения и их сотрудники обязаны предотвращать несанкционированный сбор и использование данных пациентов. Если полиция, начавшая расследование инцидента, придет к выводу, что компания своим бездействием нарушила «Закон о защите личной медицинской информации», ее ждет штраф в размере 500 тысяч канадских долларов (около 24 млн рублей).

Недавно стало известно о случайной публикации данных ВИЧ-инфицированных пациентов, а в апреле этого года ИБ-специалисты обнаружили в Интернете более 1,5 млрд приватных документов, которые оказались в свободном доступе по ошибке самих пользователей. Из них 2,2 млн документов приходились на информацию медицинского характера, в том числе результаты обследований.

Категории: Мошенничество, Уязвимости, Хакеры