Een plastisch chirurgische kliniek in de Verenigde Staten heeft de gegevens van meer dan tienduizend patiënten gelekt, nadat aanvallers door middel van een RDP-bruteforce-aanval toegang tot systemen wisten te krijgen. Vervolgens werd er ransomware uitgerold. De kliniek en het Amerikaanse ministerie van Volksgezondheid zijn nu een schikking van 500.000 dollar overeengekomen.

De aanval deed zich in juli 2017 voor. De aanvallers wisten via een bruteforce-aanval op een RDP (Remote Desktop Protocol)-account in te loggen. Via RDP is het mogelijk om systemen op afstand te bedienen. Nadat de aanvallers toegang hadden gekregen werden negen werkstations en twee servers met ransomware geïnfecteerd. Op de machines stonden de gegevens van meer dan tienduizend patiënten. Nadat de kliniek de aanval ontdekte was het niet in staat om de getroffen servers via een back-up te herstellen.

Het Office for Civil Rights (OCR) van het Amerikaanse ministerie van Volksgezondheid deed onderzoek naar het datalek en ontdekte dat de kliniek de Health Insurance Portability and Accountability Act (HIPAA) op meerdere punten had overtreden. Deze wetgeving bevat onder andere regels voor zorginstanties voor het beschermen van 'beschermde gezondheidsgegevens'.

Zo had de kliniek geen risicoanalyse uitgevoerd naar de risico's en kwetsbaarheden van beschermde gezondheidsinformatie in de eigen systemen. Ook waren er geen maatregelen getroffen om logbestanden periodiek te controleren en ontbraken beleid en procedures voor het omgaan met beveiligingsincidenten. Naast het betalen van de 500.000 dollar moet de kliniek een beveiligingsplan doorvoeren, waaronder het uitvoeren van risicoanalyses en implementeren van beleid en procedures met betrekking tot gezondheidsgegevens.