Resultados de COVID-19 para el 25% de Wyoming publicados accidentalmente Online - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Resultados de COVID-19 para el 25% de Wyoming publicados accidentalmente Online

Hola otra vez. Te habla Eduardo Arroyo y esta vez hablaremos sobre Resultados de COVID-19 para el 25% de Wyoming publicados accidentalmente Online

Resultados de COVID-19 para el 25% de Wyoming publicados accidentalmente Online

Lo sentimos, hemos trasladado los resultados de la prueba de COVID y otros datos médicos y personales a depósitos de almacenamiento públicos de GitHub, dijo el Departamento de Salud de Wyoming.

El Departamento de Salud de Wyoming (WDH) dijo el miércoles que publicó accidentalmente los resultados de las pruebas de COVID de los residentes del estado en sus cubos de almacenamiento de cara al público.

La WDH dijo en un asesoramiento publico que un empleado manipuló la información de salud de aproximadamente 164,021 residentes de Wyoming y personas de otros estados desde el 5 de noviembre. El departamento se enteró de la exposición de datos el 10 de marzo. El censo de 2020 mostró que Wyoming tiene alrededor de 577,000 residentes, lo que significa que este derrame afectó a aproximadamente el 25 por ciento de su población.

La información de acceso público se refería a 53 conjuntos de archivos. Además de los resultados de las pruebas de COVID-19 y de influenza, el caché también contenía un archivo con los resultados de la prueba del alcoholímetro; nombres o identificación del paciente; direcciones; fecha de nacimiento; y las fechas en que los pacientes fueron evaluados. Los resultados de la prueba COVID-19 no fueron solo de pruebas realizadas en Wyoming y cargadas electrónicamente. Los resultados de las pruebas también podrían haberse realizado en cualquier lugar de los Estados Unidos entre enero de 2020 y marzo de 2021.

Únase a Threatpost para «Fortalecer su negocio contra ataques de ransomware, DDoS y Cryptojacking», un panel de discusión EN VIVO el miércoles 12 de mayo a las 2 pm EDT para este seminario web GRATUITO patrocinado por Zoho ManageEngine.

En cuanto a las pruebas de alcohol en el aliento, el empleado publicó accidentalmente los resultados de 18,312 personas, en su mayoría de Wyoming pero también de otros estados, que habían respirado en un tubo policial en Wyoming desde el 19 de abril de 2012 y hasta el 27 de enero de 2021.

El empleado cargó por error todo esto en repositorios de almacenamiento Online públicos y privados en la nube, donde miradas indiscretas deambulan libremente como mustangs.

Trague esta píldora amarga una vez cada pocos meses más o menos

Esta no es la primera vez que vemos a desarrolladores (o cualquier tipo de empleado de WDH engañar) registros de salud pública como este.

En diciembre, se exhibieron Online 45 millones de imágenes médicas, que se dejaron libremente en juego para chantajistas, estafadores u otros delincuentes, debido a la tecnología no segura que se usa típicamente para almacenar, enviar y recibir datos médicos. Y en agosto pasado, la investigadora holandesa Jelle Ursem descubrió lo que llamó la «María tifoidea de las fugas de datos»: nueve archivos de información de salud personal (PHI) altamente sensibles de aplicaciones como Office 365 y Google G Suite, de nueve organizaciones de salud separadas, filtradas en GitHub, gracias a errores del desarrollador.

Eso fue realmente un destello para el desarrollador involucrado. «Parecía que si hubiera una manera de que este desarrollador pudiera hacer algo mal o estropear algo, lo haría», escribieron los investigadores en ese momento. «Y parecía sorprendentemente inconsciente de que todo lo que estaba haciendo era visible para los demás».

No está claro qué errores estuvieron involucrados en la exposición de Wyoming. Los desarrolladores a menudo usan GitHub como un lugar para almacenar código mientras realizan el control de versiones y la administración de código para modelos de datos, y eso es, de hecho, para lo que lo usaba el empleado de WDH. Absolutamente no es culpa de GitHb, dijo el departamento; todo esto se trata de nosotros, dice el aviso: “Este incidente no fue causado por un compromiso de GitHub o sus sistemas. Aunque GitHub.com tiene políticas y procedimientos de privacidad y seguridad relacionados con el uso de datos en su plataforma, los errores cometidos por el empleado de WDH permitieron que la información se exponga «.

El portavoz del departamento, Kim Deti, dijo a al. Associated Press que el estado no sabe si alguien ha abusado de los documentos volcados. Ahora es un buen momento para preocuparse, dado lo fácil que es encontrar registros médicos Online: con la situación del tifus Mary el año pasado, Ursem tardó menos de 10 minutos en encontrar los datos expuestos. Probó variaciones en frases de búsqueda simples como «contraseña de FTP de medicaid», lo que llevó al premio gordo de «nombres de usuario y contraseñas de inicio de sesión codificados potencialmente vulnerables a los sistemas».

Es de esperar que la filtración de datos confidenciales de Wyoming sea menos tifoidea y más irritante. Michael Ceballos, director de WDH, dijo en el aviso que la información de seguridad social, bancaria, financiera o de seguro médico de nadie fue expuesta.

«Si bien el personal de WDH tenía la intención de usar este servicio de software solo para el almacenamiento y mantenimiento de códigos en lugar de guardar archivos que contienen información de salud, se cometió un error importante y muy lamentable cuando se cargaron los datos de los resultados de la prueba. También en GitHub.com», dijo Ceballos. “Nos tomamos esta situación muy en serio y extendemos nuestras más sinceras disculpas a todos los afectados por ella. Estamos comprometidos a ser abiertos sobre la situación y ofrecer nuestra ayuda «.

¿Quién es el juego para un reemplazo de rodilla imaginario?

Las PHI expuestas son de hecho una preocupación seria, ya que la información de identificación personal (PII) y las PHI activas están presentes en la web oscura. Las amenazas lo compran para usarlo como chantaje o para estafar al sistema médico para organizar a los pacientes fantasmas que usan clínicas fantasmas para obtener un costoso tratamiento fantasma. Caso en cuestión: los analistas de fraude una vez tropezaron con una red de delincuencia organizada metódicamente comprando escaparates de pizzerías fallidas en los centros comerciales de Florida. Los delincuentes presentaron denuncias fraudulentas ante Medicaid desde pizzerías para procedimientos importantes, como reemplazos de rodilla. El analista de fraudes que descubrió el complot cariñosamente lo apodó « The Florida Pizza Fraud Report ».

Los expertos dicen que con esto en juego, todo lo que se necesita es un paso en falso, o, en un caso como este, uno o dos pasos en falso, para romper el sistema.

«Desafortunadamente, este es otro ejemplo de error humano con consecuencias desafortunadas», señaló Erich Kron, un defensor de la conciencia de seguridad en KnowBe4, en un correo electrónico a Threatpost el jueves por la mañana. “En nuestro mundo moderno, donde trabajar con datos personales e información médica protegida es parte de la norma diaria, ciertamente ocurren errores. Desafortunadamente, incluso los errores más simples pueden exponer la información privada de miles o incluso millones de personas con solo pulsar unas pocas teclas «.

Es por eso que necesitamos procedimientos que identifiquen los errores a medida que ocurren, no meses después de que se balbucea accidentalmente información personal confidencial, dijo. Esto puede incluir el monitoreo de archivos públicos, por ejemplo. “Debido a que es fácil que las personas se sientan cómodas cuando se trata de grandes volúmenes de información privada y personal, se deben implementar procedimientos para prevenir o identificar cuándo ocurren estos errores. La supervisión de repositorios públicos como GitHub y los servicios de almacenamiento en la nube y el uso de controles DLP (prevención de pérdida de datos) pueden ayudar a reducir o eliminar la divulgación accidental de este tipo de datos «.

La educación continua también es clave, ya que es muy fácil para los empleados volverse complacientes con sus trabajos, dijo Kron. «Si los datos se comparten accidentalmente al cargarlos en un servicio en la nube expuesto o se pierden debido a una estafa o un ataque de phishing, el resultado final es igualmente devastador para los afectados».

Bill Santos, presidente de Cerberus Sentinel, está de acuerdo con este sentimiento. «Este incidente destaca la importancia de crear conciencia sobre la seguridad cibernética en todos los niveles de una organización», dijo a Threatpost en un correo electrónico el jueves por la mañana. Independientemente de la tecnología implementada, solo se necesita una persona para exponer información confidencial en una escala significativa. Cambiar la cultura de una organización, subrayando la importancia que tiene cada empleado en la protección de los recursos de la empresa y sus clientes y consumidores, es el primer paso fundamental para abordar la crisis de exposición de datos que estamos presenciando hoy «.

Gire la cabeza y arroje los datos

Jeri Hendricks, administrador de la Oficina de Privacidad, Seguridad y Contratos con WDH, dijo que el departamento eliminó los archivos de los repositorios de GitHub y que GitHub extrajo todos los bits de datos colgantes de sus servidores. Para empezar, los empleados han sido reentrenados y, a partir de ahora, GitHub u otros repositorios públicos están prohibidos en las prácticas comerciales del departamento, dijo.

«Debido a que estamos comprometidos con la privacidad y seguridad de la información médica protegida de las personas, hemos tomado medidas para ayudar a evitar que se repitan más daños por esta situación o circunstancias similares», dijo Hendricks.

WDH comenzó a enviar alertas a las personas potencialmente afectadas el lunes, pero señaló que no tiene información de contacto completa para todos. El departamento dijo que los residentes de Wyoming que se sometieron a pruebas de COVID-19 en cualquier lugar de los Estados Unidos antes del 10 de marzo deben llamar al (833) 847-5916 para averiguar si su información estaba involucrada. Cualquiera que se haya sometido a una prueba de alcoholemia de las fuerzas del orden de Wyoming entre el 19 de abril de 2012 y el 27 de enero de 2021 también debe llamar, dijo la WDH.

Cómo proteger tus signos vitales

La WDH también proporciona un año de protección contra el robo de identidad a través del servicio de monitoreo de crédito y la web oscura de IdentityForce para los afectados. Para aprovechar la protección, llame al (833) 847-5916 para registrarse.

La WDH también transmitió estos consejos de salud para los datos de salud:

  • Lea atentamente los avisos de los proveedores de atención médica sobre prácticas de privacidad.
  • Solicitar y guardar copias de la información médica de forma regular.
  • Controle la precisión de la información de salud y solicite modificaciones si es incorrecta
  • Solicitar contabilidad de divulgación a los proveedores de atención médica, especialmente si la información se usa o divulga de manera inapropiada
  • Si es necesario, solicite restricciones sobre el uso y divulgación de información médica.

.

Puedes compartir en tu Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte