last posts

Der Verstoß gegen die Koloskopie-Vorbereitung im Einzelhandel hat sich seit Jahren ausgebreitet

Meta description

Gesundheitswesen, HIPAA/HITECH, branchenspezifisch

244.000 personenbezogene Daten in Flux nach Malware-Erkennung durch einen Gastroenterologen-Anbieter

Marianne Kolbasuk McGee (HealthInfoSec) •
9. Januar 2023

Der Verstoß gegen die Koloskopie-Vorbereitung im Einzelhandel hat sich seit Jahren ausgebreitet
Die Einzelhandels-Website Your Patient Advisor by Captify Health für die Koloskopie-Vorbereitung leidet offenbar seit Jahren unter einer Malware-Infektion.

Als ob Darmspiegelungen nicht invasiv genug wären, müssen sich fast eine Viertelmillion Patienten, die sich seit 2019 einer Darmsonde unterzogen haben, nun mit einer Datenpanne im Zusammenhang mit einem Hacking-Vorfall bei einem Drittanbieter von Magen-Darm-Enterologen auseinandersetzen.

Siehe auch: Live-Webinar | 6 Schritte zur Beherrschung des OT-Patches

Das in Kansas ansässige Unternehmen Captify Health benachrichtigt etwa 244.300 Patienten, dass ihre Zahlungskarte und andere persönliche Daten möglicherweise bei einem Datensicherheitsvorfall kompromittiert wurden, der bereits 2019 seinen Online-Einzelhandel für Kits betraf.

Eine beim Generalstaatsanwalt von Maine eingereichte Mitteilung über einen Verstoß des Unternehmens besagt, dass der Online-Einzelhandelsdienst Captify Health Your Patient Advisor einen „bösartigen Code“-Vorfall erlitten hat, der mehr als drei Jahre andauerte, vom 26. Mai 2019 bis zum 20. April 2022.

Das Unternehmen gab an, im März 2021 über die betrügerische Verwendung von Verbraucherkreditkarten im Zusammenhang mit seiner Zahlungskartenumgebung informiert worden zu sein. Eine Untersuchung der Angelegenheit wurde am 12. Oktober 2022 abgeschlossen und ergab, dass ein Verstoß aufgetreten ist.

Captify Health reagierte nicht sofort auf die Anfrage der Information Security Media Group nach weiteren Einzelheiten.

Zu den relevanten Informationen gehören der vollständige Name, die Adresse, die Nummer der Zahlungskarte, das Ablaufdatum und der Sicherheitscode der Zahlungskarte, so das Unternehmen.

Der Vorfall wirft eine Reihe von roten Fahnen auf, sagen einige Experten.

„Es ist eine eindeutige Anforderung des Payment Card Industry Data Security Standard – PCI-DSS – dass die CVV-Nummer oder der Sicherheitscode niemals gespeichert werden sollte – und das scheint der Fall zu sein“, sagte Michael Hamilton, Gründer und CISO von Security feste kritische Einsicht.

Wenn dies der Fall ist, sieht sich Ihr Patientenberater möglicherweise einer Vielzahl von regulatorischen Problemen auf Bundes- und Landesebene sowie potenziellen Sammelklagen gegenüber, sagt Hamilton.

Mindestens eine Anwaltskanzlei – Markovits, Stock & DeMarco LLC – untersucht bereits eine mögliche Sammelklage.

Captify Health, das laut seiner Website landesweit 27 Bundesstaaten, 500 Ärzte und 7 Millionen Patienten bedient, scheint von den HIPAA-Vorschriften für Geschäftspartner in Arztpraxen abgedeckt zu sein.

Gemäß HIPAA müssen Verstöße, von denen 500 oder mehr Personen betroffen sind, innerhalb von 60 Tagen nach Entdeckung dem Büro für Bürgerrechte des Ministeriums für Gesundheit und menschliche Dienste gemeldet werden. Am Montag wurden offenbar keine Verstöße im Zusammenhang mit Captify Health auf der Website des HHS OCR HIPAA Breach Reporting Tool gepostet.

Die lange Dauer des Malware-Vorfalls – einschließlich der offensichtlichen 19-monatigen Untersuchung und der möglichen Verzögerung bei der Benachrichtigung von Personen über eine Verletzung – ist aus verschiedenen Gründen besorgniserregend, sagt Tom Walsh, CEO des Beratungsunternehmens für Datenschutz und Sicherheit tw-Security.

„Eine gründliche Untersuchung nach einem Verstoß braucht Zeit; in diesem Fall scheint es jedoch ungewöhnlich lange gedauert zu haben, bis eine Meldung erfolgt“, sagt er.

„Potenzielle Gefahren sind Identitätsdiebstahl, der den Hacker oder schlechten Schauspieler, der an die gehackten Daten gelangt ist, dazu verleiten kann, eine Art Finanzbetrug zu versuchen – einen nicht autorisierten Kauf“, sagt Walsh.

Die Hauptrisiken für Ihren Patientenberater als Unternehmen bestehen neben Reputationsschäden darin, dass „sie sich langfristig einer größeren Geldbuße und/oder rechtlichen Schritten ausgesetzt haben“, sagt Tom Cope, CISO of Data Loss Prevention. Nächster DLP-Anbieter.

„PCI-DSS-Bußgelder werden monatlich verhängt, daher könnte das Unternehmen mit einem 21-monatigen Bußgeldproblem rechnen“, sagt er.

Decken Sie schlechte Sicherheitspraktiken auf

Ihr Captify Health-Patientenberater sagt, dass er eine Reihe von Maßnahmen ergriffen hat, um die Datensicherheit zu verbessern. One implementiert zusätzliche Sicherheitsmaßnahmen, um seine Online-Bestellplattform zu sichern, um das Risiko eines ähnlichen Vorfalls in der Zukunft zu verringern.

„Ihr Patientenberater hat Schritte unternommen, um sicherzustellen, dass seine Plattform für alle Einkäufe sicher und geschützt ist“, heißt es in dem Bericht.

Unternehmen müssen auch im Vorfeld sorgfältig vorgehen, um Verstöße im Zusammenhang mit dem Online-Einzelhandel und ähnlichen Websites zu verhindern, sagt Walsh.

„Zumindest ist jeder Zugriff von Kunden/Patienten auf das Internet ein Hauptziel für Hacker. Deshalb hilft eine gründliche Risikoanalyse dabei, die größten Gefährdungsbereiche zu ermitteln und zu ermitteln, wo am dringendsten Abhilfemaßnahmen erforderlich sind. nicht mehr erforderlich.“


Blog In 2021 joker0o xyz




Font Size
+
16
-
lines height
+
2
-