UPMC zahlt 2,65 Millionen Dollar zur Beilegung eines Falles von Datenschutzverletzungen

  • Die Justiz hat einen millionenschweren Vergleich im Zusammenhang mit einer Datenpanne, die sich vor sieben Jahren im University of Pittsburgh Medical Center (UPMC) ereignet hat, genehmigt.

    Die Vereinbarung sieht vor, dass das UPMC 2,65 Millionen Dollar an 66.000 Mitarbeiter zahlt, deren persönliche Daten vom ehemaligen IT-Spezialisten der Federal Emergency Management Agency (FEMA), Justin Sean Johnson, gestohlen wurden.

    Der in Detroit lebende Johnson (auch bekannt als TheDearthStar und Dearthy Star im Dark Web) hackte sich 2013 und 2014 unter den Spitznamen “TDS” und “DS” in die Oracle PeopleSoft-Datenbank des Zentrums ein.

    Nachdem er sich Zugang zu den Serverdatenbanken der Personalabteilung des Zentrums verschafft hatte, stahl Johnson sensible PII- und W-2-Informationen von UPMC-Mitarbeitern, darunter Namen, Adressen, Sozialversicherungsnummern, Gehälter und Bankdaten.

    Später verkaufte Johnson diese Informationen über Foren im Dark Web an Cyber-Kriminelle, die damit falsche Steuererklärungen einreichten. Das Justizministerium sagte, dass Hunderte von falschen 1040 Steuererklärungen im Jahr 2014 unter Verwendung von UPMC-Mitarbeiter PII eingereicht wurden, mit dem Ergebnis, dass Hunderttausende von Dollar an falschen Steuererstattungen gefordert wurden.

    Nachdem sie dieses Geld in Geschenkkarten für den Online-Händler Amazon umgewandelt hatten, kauften die Cyber-Kriminellen, die die falschen Steuererklärungen eingereicht hatten, Waren und verschickten sie nach Venezuela. Durch diesen Betrug verlor die IRS 1,7 Millionen Dollar.

    Johnson wurde im Juni 2020 verhaftet. Im Mai dieses Jahres bekannte er sich in den Punkten 1 und 39 einer 43 Punkte umfassenden Anklageschrift für schuldig.

    Nach dem Bruch wurde eine Sammelklage eingereicht, in der das University of Pittsburgh Medical Center der Fahrlässigkeit beschuldigt wurde. In der Klage wurde behauptet, das UPMC habe es versäumt, “die weit verbreiteten Industriestandards in Bezug auf die Datensicherheit einzuhalten”.

    Die Klage wurde zunächst vom Prozessgericht und später vom Superior Court abgewiesen; sie wurde jedoch in der Berufung vom Supreme Court of Pennsylvania bestätigt. Das Gericht entschied zugunsten der Kläger und stellte fest, dass ein Arbeitgeber gesetzlich verpflichtet ist, bei der Speicherung personenbezogener Daten seiner Mitarbeiter mit angemessener Sorgfalt vorzugehen.

    Anfang dieses Jahres war UPMC in eine weitere Datenschutzverletzung verwickelt, nachdem durch einen Cyberangriff auf einen Drittanbieter die PHI von mehr als 36.000 Patienten offengelegt wurden.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com