US Radiology заплатит $450 тыс. за игнорирование уязвимости, которая привела к утечке данных

Крупная частная радиологическая компания в США US Radiology согласилась выплатить штраф в размере $450 000 за утечку данных почти 200 000 пациентов после атаки программы-вымогателя в 2021 году.

Компания использовала брандмауэр от компании SonicWall для защиты сети, которая также обслуживала её партнёров, включая Windsong Radiology Group. Однако US Radiology не устранила уязвимость нулевого дня CVE-2021-20016, обнаруженную ещё в январе 2021 года. Уязвимость стала точкой входа для хакеров, так как компания не смогла установить необходимое обновление из-за устаревшего оборудования, замена которого была отложена.

Уязвимость SQL-инъекции CVE-2021-20016 (CVSS: 9.8) в продукте SonicWall SSLVPN SMA100 позволяет удаленному неаутентифицированному злоумышленнику выполнить SQL-запрос для доступа к имени пользователя, паролю и другой информации, связанной с сеансом. Эта уязвимость затрагивает сборку SMA100 версии 10.x.

В результате злоумышленникам удалось получить доступ к сетевым папкам, использовав дополнительные учетные данные. По данным следствия, хакеры получили доступ к файлам с личной информацией пациентов, включая имена, даты рождения, идентификаторы пациентов, даты обслуживания, имена поставщиков, типы радиологических обследований, диагнозы и номера медицинских страхований, а также водительские удостоверения, номера паспортов и номера социального страхования многих жителей Нью-Йорка.

Компанию US Radiology также обязали модернизировать ИТ-систему, в том числе зашифровать конфиденциальную информацию пациентов и разработать программу тестирования на проникновение. Также предусмотрено удаление данных пациентов без разумных оснований для функционирования бизнеса и предоставление отчетов о соответствии законодательству в течение двух лет.