Tandarts VS verzweeg ransomware-aanval: 'data per ongeluk geformatteerd'
Een Amerikaanse tandartsketen heeft een ransomware-aanval en het daarop volgende datalek voor patiënten verzwegen. Westend Dental ontkende de aanval en het datalek zelfs en verklaarde dat patiëntgegevens door een 'per ongeluk geformatteerde' harde schijf verloren waren gegaan. De tandartsketen heeft besloten om een rechtszaak over verschillende vermeende overtredingen van de Health Insurance Portability and Accountability Act (HIPAA) voor een bedrag van 350.000 dollar te schikken.
Westend Dental werd eind 2020 getroffen door een aanval met de Medusa Locker-ransomware. De tandartsketen verzweeg dit voor zowel patiënten als privacytoezichthouders. De Office of the Indiana Attorney General (OIG) startte na een klacht van een patiënt een onderzoek naar de tandartsketen. De patiënt had Westend Dental om het eigen dossier gevraagd, maar kreeg te horen dat de gegevens niet beschikbaar waren omdat iemand de systemen had 'gehackt'.
De OIG vroeg om meer informatie en kreeg in juni 2022 te horen dat de servers eind 2020 met 'malware' waren geïnfecteerd. Eind 2022 deed Westend Dental een datalekmelding bij de procureur-generaal waarin het stelde dat er geen ransomware-aanval had plaatsgevonden en de harde schijf van de server per ongeluk was geformatteerd. Tijdens een getuigenis onder ede in 2023 verklaarde een medewerker dat het om een ransomware-aanval ging.
Verder bleek dat de tandartsketen na de ransomware-aanval geen onderzoek had uitgevoerd. Daarnaast werden gebruikersnamen en wachtwoorden voor systemen met gezondheidsgegevens onversleuteld opgeslagen en gebruikte de tandartsketen voor elke server met gezondheidsgegevens hetzelfde wachtwoord en gebruikersnaam. De medewerker die getuigde kon niet verklaren of er destijds monitoring aanwezig was. Hoe de aanvaller binnen wist te dringen is dan ook onbekend gebleven.
De tandartsketen liet een softwareleverancier back-ups maken, maar die was onvolledig en bevatte niet alle gegevens. Patiënten zijn daarnaast nooit over het datalek ingelicht. De procureur-generaal van de staat Indiana startte een rechtszaak tegen de tandartsketen, omdat de keten meerdere bepalingen van de HIPAA-wetgeving zou hebben overtreden. Westend Dental heeft besloten de zaak voor een bedrag van 350.000 dollar te schikken en de beveiliging op te schroeven. De schikking moet nog door de rechter worden goedgekeurd (pdf).
Deze dingen, als hackers willen komen. Ze toch overal binnen ongeacht welke software je ook hebt
Verder staat er nergens dat ze hun systemen niet hadden beveiligd. Standaard verhaal dat de beheerder de schuld krijgt van de goegemeente.
Anders is t al snel een koopje.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.