Vergleich über Datenpanne mit Auswirkungen auf 24 Millionen Amerikaner geschlossen

Cyber Security News

Ein Vergleich zwischen mehreren Bundesstaaten wurde im Zusammenhang mit einer Datenpanne aus dem Jahr 2019 geschlossen, durch die möglicherweise die persönlichen Daten von bis zu 25 Millionen Amerikanern offengelegt wurden.

Die Verletzung fand vom 1. August 2018 bis zum 30. März 2019 statt, als sich ein unbefugter Benutzer Zugang zum internen Computersystem der American Medical Collection Agency (AMCA) verschaffte, indem er sich in ein Web-Zahlungsportal hackte.

Sobald er im System war, konnte der Benutzer auf eine Vielzahl sensibler Daten zugreifen, darunter Sozialversicherungsnummern, Zahlungskarteninformationen und die Ergebnisse medizinischer Tests.

Am 3. Juni 2019 gab AMCA einen Sicherheitshinweis zu dem Verstoß heraus. Das Unternehmen kontaktierte die betroffenen Kunden und bot ihnen zwei Jahre lang eine kostenlose Kreditüberwachung an.

Später stellte sich heraus, dass mindestens 23 verschiedene Organisationen des Gesundheitswesens von der AMCA-Sicherheitsverletzung betroffen waren.

Nachdem AMCA die Kosten für die Benachrichtigung über die Sicherheitsverletzung und die Behebung des Problems bezahlt hatte, meldete das Unternehmen am 17. Juni 2019 Insolvenz an. Das Unternehmen erhielt später vom Konkursgericht die Erlaubnis, sich mit der Multi-State-Koalition zu einigen und beantragte am 9. Dezember 2020 die Aufhebung des Konkurses.

Gemäß den Bedingungen des Vergleichs kann Retrieval-Masters Creditors Bureau, das als AMCA tätig ist, für eine Gesamtzahlung von 21 Millionen US-Dollar an die Staaten haftbar sein. Die Zahlung wurde jedoch angesichts der finanziellen Schwierigkeiten von AMCA ausgesetzt und wird nur aktiviert, wenn das Unternehmen gegen bestimmte Bedingungen der Vergleichsvereinbarung verstößt.

Als Teil des Vergleichs muss AMCA verschiedene Datensicherheitspraktiken implementieren, um die Verbraucher vor zukünftigen Cyber-Attacken zu schützen. Dazu gehören die Einstellung eines Chief Information Security Officers, die Beauftragung eines externen Gutachters zur Durchführung einer Informationssicherheitsbewertung sowie die Erstellung und Umsetzung eines Informationssicherheitsprogramms mit detaillierten Anforderungen, einschließlich eines Plans zur Reaktion auf Vorfälle.

Der Vergleich wurde zwischen AMCA und den Generalstaatsanwälten von Arizona, Arkansas, Colorado, dem District of Columbia, Connecticut, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Missouri, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, North Carolina, Ohio, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington und West Virginia.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com