US Radiology заплатит $450 тыс. за игнорирование уязвимости, которая привела к утечке данных

Крупная частная радиологическая компания в США US Radiology согласилась выплатить штраф в размере $450 000 за утечку данных почти 200 000 пациентов после атаки программы-вымогателя в 2021 году. Обэтом пишет Securitylab.

Компания использовала брандмауэр от компании SonicWall для защиты сети, которая также обслуживала её партнёров, включая Windsong Radiology Group. Однако US Radiology не устранила уязвимость нулевого дня CVE-2021-20016, обнаруженную ещё в январе 2021 года. Уязвимость стала точкой входа для хакеров, так как компания не смогла установить необходимое обновление из-за устаревшего оборудования, замена которого была отложена.

Уязвимость SQL-инъекции CVE-2021-20016 (CVSS: 9.8) в продукте SonicWall SSLVPN SMA100 позволяет удаленному неаутентифицированному злоумышленнику выполнить SQL-запрос для доступа к имени пользователя, паролю и другой информации, связанной с сеансом. Эта уязвимость затрагивает сборку SMA100 версии 10.x.

В результате злоумышленникам удалось получить доступ к сетевым папкам, использовав дополнительные учетные данные. По данным следствия, хакеры получили доступ к файлам с личной информацией пациентов, включая имена, даты рождения, идентификаторы пациентов, даты обслуживания, имена поставщиков, типы радиологических обследований, диагнозы и номера медицинских страхований, а также водительские удостоверения, номера паспортов и номера социального страхования многих жителей Нью-Йорка.

Компанию US Radiology также обязали модернизировать ИТ-систему, в том числе зашифровать конфиденциальную информацию пациентов и разработать программу тестирования на проникновение. Также предусмотрено удаление данных пациентов без разумных оснований для функционирования бизнеса и предоставление отчетов о соответствии законодательству в течение двух лет.