De volksgezondheidsdienst van Los Angeles County, het grootste county in de Verenigde Staten met bijna tien miljoen inwoners, heeft begin dit jaar met twee datalekken te maken gekregen als gevolg van 'MFA fatigue' en phishingmails. Op 6 februari wist een aanvaller toegang te krijgen tot het Microsoft 365-account van een medewerker, waarbij hij de multifactorauthenticatie door middel van 'MFA fatigue' wist te omzeilen.

Bij 'MFA fatigue' beschikt de aanvaller over de inloggegevens van het doelwit, maar niet de MFA-code om de inlogprocedure succesvol af te ronden. Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang tot het account krijgt.

Via het betreffende 365-account kreeg de aanvaller toegang tot persoonlijke informatie van een niet nader aantal genoemd personen. Het ging om naam, geboortedatum, adresgegevens, telefoonnummers, e-mailadressen, social-securitynummer, door de overheid verstrekt ID, medisch dossiernummer, gezondheidsverzekeringsinformatie en medische informatie, waaronder aandoeningen, diagnoses, medicatie, ondergane behandelingen en behandeldatums (pdf).

Phishingmails

Op 19 en 20 februari volgde het tweede datalek, toen 53 medewerkers in een phishingmail trapten en hun inloggegevens op een phishingsite achterlieten. De aanvaller kreeg zo toegang tot de persoonlijke informatie van meer dan 200.000 personen. Het gaat om naam, geboortedatum, diagnoses, medicijnen, medisch dossiernummer, social security-nummer, financiële gegevens en andere informatie. Naar aanleiding van beide datalekken heeft de gezondheidsdienst de wachtwoorden van de getroffen accounts gereset alsmede de systemen van de betreffende medewerkers opnieuw geïnstalleerd.