Negara bagian Nebraska di AS telah menggugat raksasa teknologi kesehatan Change Healthcare atas serangkaian dugaan kegagalan keamanan yang mengakibatkan pelanggaran data bersejarah yang mengungkap informasi medis sensitif dari setidaknya 100 juta orang Amerika.
Di dalam pengaduan yang diajukan minggu iniJaksa Agung Nebraska Mike Hilgers mengklaim bahwa Change Healthcare milik UnitedHealth gagal menerapkan langkah-langkah keamanan yang memadai, sehingga menyebabkan apa yang dia gambarkan sebagai pelanggaran data “bersejarah” dalam hal dampak dan besarnya.
Ini terjadi setelah itu terjadi terungkap pada bulan Oktober bahwa lebih dari 100 juta orang Amerika data medis rahasianya dicuri selama serangan ransomware pada bulan Februari di Change Healthcare. Data ini mencakup informasi pribadi seperti alamat dan nomor telepon; data kesehatan, termasuk diagnosis, pengobatan dan rencana perawatan; dan data keuangan dan perbankan. Change Healthcare terus memberi tahu individu yang terkena dampak pelanggaran data dan angka akhirnya diperkirakan akan melebihi 100 juta.
Hilgers mengatakan dalam keluhannya bahwa “kegagalan Change Healthcare dalam menerapkan perlindungan keamanan dasar” memperburuk cakupan serangan siber, yang diatribusikan ke geng ransomware ALPHV berbahasa Rusia. Keluhan tersebut menuduh bahwa raksasa teknologi kesehatan tersebut memiliki sistem TI yang tidak tersegmentasi dengan baik sehingga memungkinkan peretas untuk bepergian dengan bebas antar server, dan bahwa Change Healthcare belum menerapkan autentikasi multi-faktor pada sistemnya, yang berarti bagi mereka hanya dengan nama pengguna dan kata sandi.
Keluhan tersebut juga mengungkapkan informasi yang sebelumnya tidak dilaporkan tentang insiden tersebut, termasuk rincian baru yang menunjukkan bahwa peretas memperoleh akses ke jaringan Change Healthcare menggunakan nama pengguna dan kata sandi “pegawai layanan pelanggan tingkat rendah,” yang menurut Hilgers diposting di grup Telegram. Dikenal karena menjual kredensial curian.
Dengan akses ke akun “dasar, tingkat pengguna” ini, yang tidak memiliki akses administrator, keluhan Hilgers menyatakan bahwa peretas dapat mengakses server yang menghosting aplikasi manajemen pengobatan Change, SelectRX. Dari sana, para peretas membuat akun istimewa dengan kemampuan administrator, termasuk kemampuan untuk mengakses dan menghapus semua file.
“Selama lebih dari sembilan hari, peretas menavigasi sistem Change tanpa terdeteksi, membuat akun administrator dengan hak istimewa, memasang malware, dan mengekstrak data sensitif berukuran terabyte,” kata pengaduan tersebut, menambahkan bahwa serangan itu hanya terdeteksi ketika File dienkripsi, sehingga mencegah perusahaan dari datanya sendiri.
Hilgers juga menggugat Change Healthcare karena gagal memberi tahu orang-orang yang terkena dampak tentang pelanggaran data, yang menurutnya berdampak pada setidaknya 575.000 warga Nebraskan. Hilger mengatakan negara bagian memasang pemberitahuannya sendiri memperingatkan warga tentang pelanggaran tersebut karena Change Healthcare belum memberi tahu mereka yang terkena dampak hingga sekitar lima bulan setelah serangan siber.
“Sampai dengan tanggal pengaduan ini, Negara Bagian Nebraska yakin bahwa para terdakwa belum memberikan pemberitahuan tertulis tentang pelanggaran tersebut kepada banyak warga Nebraskan yang terkena dampak, sehingga membuat warga negara lebih rentan terhadap eksploitasi informasi keuangan, kesehatan, dan pribadi yang sensitif.” identifikasi.” kata keluhan itu.
Jaksa Agung Nebraska meminta pengadilan untuk memerintahkan Change Healthcare membayar ganti rugi “atas kerugian yang ditimbulkan pada penduduk Nebraska dan penyedia layanan kesehatan,” yang menurut Hilgers terpaksa memberikan perawatan tanpa menerima pembayaran klaim asuransi.
Insiden ini juga menyebabkan gangguan operasional yang luas, sehingga pasien tidak mendapatkan pengobatan dan perawatan yang diperlukan.
Juru bicara UnitedHealth Katherine Wojtecki mengatakan kepada TechCrunch: “Kami yakin gugatan ini tidak berdasar dan kami bermaksud untuk membela diri dengan sekuat tenaga.” Perusahaan tersebut menegaskan kembali dalam pernyataannya apa yang dikatakannya kepada TechCrunch pada bulan Juli, bahwa tinjauan Change Healthcare terhadap data yang dicuri sedang “dalam tahap akhir.”