LE TRE NEWS DI OGGI:
- AUSTRALIA, AUTORITA’ DI VIGILANZA SULLA PRIVACY AVVIA UN’AZIONE LEGALE CONTRO L’AUSTRALIAN CLINICAL LABS
- ONTARIO, DATA BREACH CINQUE OSPEDALI COLPITI DA ATTACCO RANSOMWARE
- NEVADA, GENITORI CITANO IN GIUDIZIO DISTRETTO DOPO LA VIOLAZIONE DEI DATI DEGLI STUDENTI
Il garante per la privacy del Paese ha avviato un procedimento civile contro Australian Clinical Labs (ASX: ACL) per l’hacking di Medlab che ha comportato il furto delle cartelle cliniche e dei numeri di carta di credito di oltre 223.000 pazienti e personale alla fine dello scorso anno.Il Commissario australiano per l’informazione (AIC) ha intentato una causa presso la Corte federale australiana, sostenendo che ACL ha adottato misure di sicurezza informatica carenti per la protezione delle informazioni personali in suo possesso tra il 26 maggio 2021 e il 29 settembre 2022. Annunciata da ACL più di un anno fa, la violazione comprendeva 17.539 cartelle cliniche e sanitarie associate a un esame patologico, 28.286 numeri e nomi di carte di credito (di cui 15.724 scadute) e 128.608 numeri Medicare.Una settimana dopo che l’hack è stato reso pubblico, l’Office of the Australian Information Commissioner (OAIC) ha espresso l’intenzione di indagare sulla violazione dei dati. La maggior parte dei clienti colpiti proveniva dal NSW e dal Queensland.”Le organizzazioni hanno la responsabilità di proteggere le informazioni in loro possesso, compresa la gestione efficace del rischio di sicurezza informatica”, afferma Angelene Falk, commissario australiano per l’informazione, in una dichiarazione rilasciata oggi.”Riteniamo che ACL non abbia adottato misure ragionevoli per proteggere le informazioni personali in suo possesso per un’organizzazione delle sue dimensioni, con le sue risorse e considerando la natura e il volume delle informazioni personali sensibili che trattava”. Quando si verifica una violazione dei dati, le organizzazioni sono tenute a informare l’Ufficio del Commissario australiano per l’informazione e le persone colpite, al fine di ridurre al minimo i rischi e i potenziali danni associati a una violazione dei dati. Contrariamente a questo principio, ACL ha ritardato la notifica al mio ufficio della pubblicazione di informazioni personali e sensibili sul dark web”.In un annuncio all’ASX, ACL afferma che difenderà la richiesta di risarcimento dell’AIC e sostiene che i suoi sistemi di sicurezza informatica sono solidi.”ACL conferma che le richieste di risarcimento si riferiscono esclusivamente ai suoi sistemi e processi durante il periodo di riferimento e l’AIC non sostiene che siano stati compromessi altri dati di ACL oltre a quelli coinvolti nell’episodio Medlab notificato al mercato il 27 ottobre 2022″, afferma l’azienda. L’AIC sostiene inoltre che ACL non ha effettuato una valutazione adeguata per stabilire se il caso Medlab rappresentasse una violazione di dati ammissibile entro 30 giorni e non ha notificato all’AIC una violazione di dati ammissibile “non appena possibile”, come richiesto dal Privacy Act.Secondo l’AIC, una violazione dei dati ammissibile si verifica quando vi è un accesso non autorizzato o una divulgazione non autorizzata di informazioni personali, o una perdita di informazioni personali, in possesso di un’organizzazione o di un’agenzia.La notizia del procedimento legale contro ACL arriva un giorno dopo che il Centro australiano per la sicurezza informatica ha riscontrato diverse vulnerabilità nel prodotto Confluence Data Centre e Server di Atlassian.
Cinque ospedali dell’Ontario colpiti da un recente attacco ransomware, insieme al loro fornitore informatico condiviso, affermano che sono stati pubblicati i dati relativi all’attacco informatico.L’attacco ha causato l’interruzione di alcuni servizi online presso Bluewater Health, Chatham-Kent Health Alliance, Erie Shores HealthCare, Hôtel-Dieu Grace Healthcare e Windsor Regional Hospital il 23 ottobre.In una dichiarazione congiunta, gli ospedali e TransForm, un gruppo senza scopo di lucro incaricato di supervisionare i sistemi informatici degli ospedali, affermano che stanno indagando per determinare esattamente quali dati sono stati divulgati. Il gruppo afferma che l’attacco ransomware ha colpito le operazioni e alcuni dati dei pazienti, dei dipendenti e del personale professionale. Inoltre, dopo aver ricevuto il parere di esperti, ha deciso di non cedere alle richieste di riscatto.Il gruppo dichiara che continuerà a lavorare a stretto contatto con le forze dell’ordine, compresi i dipartimenti di polizia locali, la polizia provinciale dell’Ontario, l’Interpol e l’FBI, e che ha informato tutte le organizzazioni di regolamentazione competenti, compreso l’Ontario Information and Privacy Commissioner.Le organizzazioni ospedaliere stanno lavorando per ripristinare i sistemi e, se necessario, contatteranno direttamente i pazienti per riprogrammare gli appuntamenti.
Molti genitori hanno intentato una causa contro il Distretto scolastico della Contea di Clark per le preoccupazioni relative alla sicurezza e alla privacy dei loro studenti in seguito ai recenti attacchi alla sicurezza informatica. Venerdì scorso Brandi Hecht, un genitore, ha raccontato a Channel 13 di aver ricevuto un’e-mail da un hacker che minacciava di diffondere le informazioni personali di suo figlio sul dark web.”Tutte le informazioni dei nostri figli sono là fuori”, ha detto Hecht. “L’e-mail proveniva da una casella di posta elettronica di uno studente di un distretto della contea di Fresno, in California. Si leggeva: “Mi dispiace dirtelo, ma purtroppo le tue informazioni private sono trapelate”.”Alcuni hacker si sono introdotti in una e-mail di uno studente, hanno inviato quattro e-mail e poi sono entrati e hanno praticamente cancellato le prove dell’invio”, ha dichiarato la sovrintendente Lori Villanueva.Villanueva ha detto di essersi allarmata dopo l’episodio, ma di non aver più ricevuto alcun tipo di contatto dagli hacker. La settimana scorsa, però, gli stessi hacker hanno inviato lo stesso identico messaggio a un’altra stazione televisiva locale.Nel messaggio gli hacker hanno affermato di aver chiesto meno di un terzo dello stipendio del sovrintendente del CCSD Jesus Jara, ma la richiesta non è stata soddisfatta.Secondo la nuova causa, il CCSD e i distretti scolastici di tutto il Nevada sono stati ripetutamente avvertiti del potenziale attacco ai loro sistemi informatici già nel 2020. Tuttavia, secondo la causa, il CCSD non ha aggiornato le licenze del software o messo in atto protezioni per le password.La causa prosegue affermando che un sito web chiamato DataBreaches.net ha confermato che i dati trapelati contenevano informazioni di identificazione personale degli studenti, comprese le cartelle cliniche. Il sito contiene anche esempi redatti dei dati.
English version
- AUSTRALIA, PRIVACY WATCHDOG INITIATES LEGAL ACTION AGAINST AUSTRALIAN CLINICAL LABS
- ONTARIO, DATA BREACH FIVE FROM RANSOMWARE ATTACK HOSPITALS HITCHED
- NEVADA, PARENTS CLAIM DISTRICT AFTER STUDENT DATA BREACH
The nation’s privacy watchdog has launched civil proceedings against Australian Clinical Labs (ASX: ACL) over a Medlab hack that saw more than 223,000 patients and staff have their health records and credit card numbers stolen late last year.The Australian Information Commissioner (AIC) has filed the suit in the Federal Court of Australia, alleging that ACL had deficient cyber security arrangements in place for the protection of the personal information it held between 26 May 2021 to 29 September 2022.Announced by ACL over a year ago, the breach included 17,539 medical and health records associated with a pathology test, 28,286 credit card numbers and names (of which 15,724 were expired), and 128,608 Medicare numbers.One week after the hack was made public, the Office of the Australian Information Commissioner (OAIC) expressed its intention to investigate the data breach. The majority of the customers impacted were from NSW and Queensland.“Organisations are responsible for protecting the information they hold, including effectively managing cyber security risk,” Australian Information Commissioner Angelene Falk says in a statement released today.“We consider that ACL failed to take reasonable steps to protect personal information it held for an organisation of its size with its resources, and considering the nature and volume of the sensitive personal information it handled.“When a data breach occurs, organisations are responsible for notifying the Office of the Australian Information Commissioner and affected individuals as a way of minimising the risks and potential for harm associated with a data breach. Contrary to this principle, ACL delayed notifying my office that personal and sensitive information had been published on the dark web.”In an announcement to the ASX, ACL says it will be defending the AIC claim and asserts that its cyber security systems are robust.“ACL confirms that the claims relate to its systems and process during the relevant period only and the AIC is not alleging that any ACL data has been compromised other than the data involved in the Medlab incident notified to the market on 27 October 2022,” the company says. The AIC also alleges that ACL did not carry out an adequate assessment of whether the Medlab incident represented an eligible data breach within 30 days and did not notify the AIC of an eligible data breach ‘as soon as practicable’ as required by the Privacy Act.According to AIC, an eligible data breach occurs when there is unauthorised access to or unauthorised disclosure of personal information, or a loss of personal information, that an organisation or agency holds.The news of the legal proceedings against ACL comes one day after the Australian Cyber Security Centre found multiple vulnerabilities in Atlassian’s Confluence Data Centre and Server product.
Five Ontario hospitals affected by a recent ransomware attack, along with their shared IT provider, say data in connection to the cyberattack has been published.The attack caused an outage of some online services at Bluewater Health, Chatham-Kent Health Alliance, Erie Shores HealthCare, Hôtel-Dieu Grace Healthcare and Windsor Regional Hospital on Oct. 23.In a joint statement, the hospitals and TransForm, a non-profit group tasked with overseeing the hospitals’ IT systems, say they are investigating to determine exactly what data has been released. The group says the ransomware attack affected operations as well as certain patient, employee and professional staff data – noting any individuals whose data was affected will be promptly notified.It also says that it decided, after advice from experts, that it would not yield to ransom demands.The group says it will continue working closely with law enforcement including local police departments, Ontario Provincial Police, Interpol and the FBI, and it has notified all relevant regulatory organizations including the Ontario Information and Privacy Commissioner.It says the hospital organizations are working to restore systems and will contact patients directly to reschedule appointments if necessary.
Several parents have filed a lawsuit against Clark County School District over concerns regarding their students’ safety and privacy following recent cybersecurity attacks.Last Friday, Brandi Hecht, a parent, told Channel 13 that she received an email from a hacker threatening to release her child’s personal information onto the dark web.“All of our kids’ information is out there,” said Hecht. “It puts our kids in danger.”The email came from a student email at a district in Fresno County, California. It read: “I’m sorry to tell you, but unfortunately, your private information has been leaked.”“Some hackers had broken into a student email, sent four emails off and then went in and basically deleted evidence of sending it,” said Superintendent Lori Villanueva.Villanueva said she was alarmed after the incident but did not have any sort of correspondence from the hackers since.But last week, the same hackers also sent the same identical message to another local television station.The hackers claimed in the message they asked for less than one third of CCSD superintendent Jesus Jara’s salary, but the demand was not met.According to the new lawsuit, CCSD and school districts across Nevada have repeatedly been warned about potential for attack on their computer systems back in 2020. But the lawsuit alleges, CCSD did not update software licenses or put password protections in place.The lawsuit goes on to say a website called DataBreaches.net confirmed the leaked data contained personally identifying information of students including medical records. It also contains redacted samples of the data.
