位于印第安纳州的心理健康和成瘾康复医疗服务提供商Otis R. Bowen人类服务中心宣布,未经授权的个人已经可以访问其两名员工的电子邮件帐户。
目前尚不清楚何时发生电子邮件帐户违规以及未经授权的个人可以访问电子邮件帐户多长时间。Otis R.Bowen中心在其网站替代品违规通知中表示,独立的数字取证调查于2020年1月28日披露,由于该攻击,有可能访问了PHI。现在已经完成了对帐目的审查,以确定哪些患者受到了影响,哪些人已由Main单独通知。没有提及可能受到破坏的信息类型。
Otis R. Bowen中心表示,调查并未发现任何证据表明任何PHI因违规而被滥用,但出于谨慎考虑,已向受影响的个人提供了信用监控和身份盗用的免费会员资格通过Kroll提供保护服务。
针对此漏洞,Otis R. Bowen中心已采取措施改善电子邮件和网络安全性,并与领先的网络安全专家紧密合作以改善其数字环境的安全性。
卫生和公共服务部的违规门户表明受感染的电子邮件帐户包含35804位患者的受保护健康信息。
明尼苏达大学医师报告的网络钓鱼攻击
明尼苏达大学医师大学发现,由于对网络钓鱼电子邮件的响应,两个雇员的电子邮件帐户已被盗用。在每种情况下,电子邮件帐户遭到入侵后不久都检测到网络钓鱼攻击,并于2020年1月31日和2020年2月4日采取了措施以保护帐户。
未经授权的个人只能访问一个帐户少于两天,而第二个帐户只能访问几个小时。
第三方计算机取证专家进行了全面的调查,但无法确定攻击者是否查看或复制了帐户中的电子邮件。第三方专家对电子邮件帐户进行了审核,他们确定电子邮件帐户包含患者姓名,电话号码,地址,出生日期,人口统计学信息(种族,性别,种族),社会保险号,保险身份证号,位置治疗,提供者姓名,有限的病史信息和病例编号。
UMPhysicians从2020年3月30日开始向受影响的个人发送通知信,并通过Kroll为会员免费提供信用监控和身份盗窃保护服务的会员资格,为期12个月。
UMPhysicians表示,在攻击电子邮件帐户时,多个电子邮件安全控制措施已经到位,包括多因素身份验证。还向员工提供了安全意识培训,并定期进行网络钓鱼模拟练习。
现在已经为员工提供了进修培训,UMPhysicians正在研究可以实施的措施以进一步提高电子邮件安全性。
OCR违规门户表明683名患者受到违规影响。