نبراسكا ترفع دعوى قضائية ضد منظمة Change Healthcare بسبب الإخفاقات الأمنية التي أدت إلى اختراق البيانات الطبية لأكثر من 100 مليون أمريكي

رفعت ولاية نبراسكا الأمريكية دعوى قضائية ضد شركة Change Healthcare العملاقة في مجال التكنولوجيا الصحية بسبب سلسلة من الإخفاقات الأمنية المزعومة التي أدت إلى خرق تاريخي للبيانات وكشف المعلومات الصحية الحساسة لما لا يقل عن 100 مليون أمريكي.

في شكوى تم تقديمها هذا الأسبوع، ادعى المدعي العام في نبراسكا، مايك هيلجرز، أن شركة Change Healthcare المملوكة لشركة UnitedHealth فشلت في تنفيذ الإجراءات الأمنية المناسبة، مما أدى إلى ما وصفه بخرق البيانات “التاريخي” من حيث التأثير والحجم.

يأتي ذلك بعد أن تم الكشف في أكتوبر عن تعرض أكثر من 100 مليون أمريكي لسرقة بياناتهم الطبية الحساسة خلال هجوم برنامج فدية في فبراير على موقع Change Healthcare. وتضمنت هذه البيانات معلومات شخصية مثل العناوين وأرقام الهواتف والبيانات الصحية بما في ذلك التشخيص والأدوية وخطط العلاج والبيانات المالية والمصرفية. تواصل شركة Change Healthcare إخطار الأفراد المتضررين بشأن اختراق البيانات، ومن المتوقع أن يكون العدد النهائي أعلى من 100 مليون.

وقال هيلجرز في شكواه إن “إخفاقات شركة Change Healthcare في تنفيذ تدابير الحماية الأمنية الأساسية” أدت إلى تفاقم حجم الهجوم الإلكتروني، الذي يُنسب إلى عصابة برامج الفدية ALPHV الناطقة بالروسية. تزعم الشكوى أن عملاق التكنولوجيا الصحية كان لديه أنظمة تكنولوجيا معلومات مجزأة بشكل سيئ مما سمح للمتسللين بالتنقل بحرية بين الخوادم، وأن شركة Change Healthcare فشلت في تنفيذ المصادقة متعددة العوامل على أنظمتها، مما يعني أنه يمكن الوصول إليها باستخدام اسم مستخدم وكلمة مرور فقط. .

تكشف الشكوى أيضًا عن بعض المعلومات التي لم يتم الإبلاغ عنها سابقًا حول الحادث، بما في ذلك تفاصيل جديدة توضح أن المتسللين تمكنوا من الوصول إلى شبكة Change Healthcare باستخدام اسم المستخدم وكلمة المرور الخاصة بـ “موظف دعم العملاء منخفض المستوى”، والذي قال هيلجرز إنه تم نشره على مجموعة Telegram. معروف ببيع أوراق الاعتماد المسروقة.

من خلال الوصول إلى هذا الحساب “الأساسي على مستوى المستخدم”، والذي لم يكن لديه وصول المسؤول، تزعم شكوى هيلجرز أن المتسللين تمكنوا من اقتحام الخادم الذي يستضيف تطبيق إدارة الأدوية الخاص بـ Change، SelectRX. ومن هناك، أنشأ المتسللون حسابات مميزة تتمتع بقدرات المسؤول، بما في ذلك القدرة على الوصول إلى جميع الملفات وحذفها.

تقول الشكوى: “على مدار أكثر من تسعة أيام، تمكن المتسلل من التنقل في أنظمة Change دون أن يتم اكتشافه، وقام بإنشاء حسابات مسؤول مميزة، وتثبيت برامج ضارة، وتسريب تيرابايت من البيانات الحساسة”، مضيفة أنه تم اكتشاف الهجوم فقط عندما تم تشفير الملفات، مما أدى إلى إغلاق الشركة من الوصول. البيانات الخاصة بها.

ويرفع هيلجرز أيضًا دعوى قضائية ضد شركة Change Healthcare بسبب فشلها المزعوم في إخطار الأفراد المتضررين بشأن اختراق البيانات، والذي يقول إنه أثر على ما لا يقل عن 575000 من سكان نبراسكا. يقول هيلجرز إن الولاية نشرت إشعارًا خاصًا بها لتنبيه السكان بالانتهاك لأن منظمة Change Healthcare لم تقدم إشعارًا للمتضررين إلا بعد حوالي خمسة أشهر من الهجوم الإلكتروني.

“اعتبارًا من تاريخ هذه الشكوى، تعتقد ولاية نبراسكا أن المدعى عليهم ما زالوا فشلوا في تقديم إشعار كتابي للعديد من سكان نبراسكا المتضررين بشأن الانتهاك، مما يجعل المواطنين أكثر عرضة لاستغلال المعلومات الشخصية الحساسة المالية والصحية والمعلومات التعريفية.” تقول الشكوى.

يطلب المدعي العام في نبراسكا من المحكمة أن تأمر شركة Change Healthcare بدفع تعويضات “عن الضرر الذي لحق بالمقيمين في نبراسكا ومقدمي الرعاية الصحية”، الذين يقول هيلجرز إنهم أجبروا على تقديم الرعاية دون تلقي مدفوعات لمطالبات التأمين.

وتسبب الحادث أيضًا في حدوث اضطرابات واسعة النطاق في العمليات، مما ترك المرضى دون الأدوية والعلاجات اللازمة.

وقالت المتحدثة باسم UnitedHealth كاثرين فويتيكي لـ TechCrunch: “نعتقد أن هذه الدعوى القضائية ليس لها أي أساس ونعتزم الدفاع عن أنفسنا بقوة”. كررت الشركة في بيانها ما قالته لـ TechCrunch في يوليو، أن مراجعة Change Healthcare للبيانات المسروقة كانت “في مراحلها النهائية”.