Das staatlich finanzierte Geburtenregister von Ontario hat einen Datenverstoß bestätigt, der etwa 3,4 Millionen Menschen betrifft, die Schwangerschaftsbetreuung in Anspruch genommen haben, darunter die persönlichen Gesundheitsdaten von fast zwei Millionen Neugeborenen und Kindern in der gesamten kanadischen Provinz.
BORN Ontario sagte in einer Stellungnahme am Montag, dass Hacker Daten aus mehr als einem Jahrzehnt kopiert haben, darunter Daten zu Fruchtbarkeit, Schwangerschaft, Neugeborenen- und Kindergesundheit, die zwischen Januar 2010 und Mai 2023 angeboten wurden.
Die Nachricht über den Verstoß kommt, nachdem der Vorfall am 31. Mai entdeckt wurde. Es ist nicht bekannt, aus welchem Grund BORN Monate brauchte, um die betroffenen Personen darüber zu informieren, dass ihre Daten kompromittiert wurden.
BORN führte den Cyberangriff auf den Massen-Hack zurück, der auf MOVEit abzielte, ein Dateiübertragungstool, das von Organisationen zum Austausch großer Datensätze über das Internet verwendet wird. Die berüchtigte mit Russland verbundene Ransomware- und Erpressungsgruppe Clop übernahm die Verantwortung für die MOVEit-Massenhacks, hat BORN jedoch noch nicht als eines ihrer Opfer bezeichnet, wie aus einer Überprüfung ihrer Dark-Web-Leak-Site hervorgeht, auf der sie mit der Veröffentlichung der Opfer droht ‚ gestohlene Daten gegen Zahlung eines Lösegelds.
BORN sammelt Daten von Gesundheitsdienstleistern, Laboren und Krankenhäusern, die Schwangerschaftsbetreuung und Gesundheitsversorgung für Kinder anbieten. Diese Daten werden dann den Gesundheitsdienstleistern zur Verfügung gestellt, um die Pflege zu steuern und zu verbessern.
Die Organisation sagte, sie habe die Strafverfolgungsbehörden kontaktiert und den Vorfall dem Datenschutzbeauftragten Ontarios, dem Information and Privacy Commissioner, der BORN beaufsichtigt, mitgeteilt. In einer am späten Montag veröffentlichten Erklärung sagte die Informations- und Datenschutzbeauftragte von Ontario, Patricia Kosseim, dass ihr Büro am 14. Juni über den Vorfall informiert worden sei. Als Tech ihn erreichte, lehnte IPC-Sprecher Jason Papadimos es ab, unsere Fragen zu beantworten.
Es ist nicht klar, ob BORN eine Lösegeldforderung erhalten oder die Cyberkriminellen bezahlt hat. Die Sprecherin von BORN Ontario, Tammy Kuepfer, antwortete nicht auf eine Bitte um Stellungnahme.
BORN sagte, dass zu den betroffenen Personen diejenigen gehören, die zwischen April 2010 und Mai 2023 ein Kind zur Welt gebracht haben oder deren Kind geboren wurde; diejenigen, die zwischen Januar 2012 und Mai 2023 Schwangerschaftsbetreuung erhalten haben; und diejenigen, die sich zwischen Januar 2013 und Mai 2023 einer IVF- oder Eizellbankverfahren unterziehen. BORN sagte, es bestehe immer noch die Möglichkeit, dass die Informationen eines Kindes kompromittiert würden, wenn das Kind zwischen 2010 und 2023 betreut werde.
Die Cyberkriminellen haben Namen, Geburtsdaten, Adressen und Postleitzahlen sowie Nummern von Gesundheitskarten gestohlen, bestätigte die Organisation. Zu den gestohlenen klinischen Informationen gehören Pflege- und Servicedaten, Labortestergebnisse, Schwangerschaftsrisikofaktoren, Art der Geburt, Verfahren sowie Schwangerschafts- und Geburtsergebnisse sowie die damit verbundene Pflege.
Der MOVEit-Massenhack hat bisher mehr als 60 Millionen Opfer gefordert. Angesichts der Tatsache, dass nur ein Bruchteil der betroffenen Organisationen ihre Vorfälle offengelegt hat, dürfte die Zahl der Opfer jedoch deutlich höher liegen.
Mehr als tausend Organisationen, darunter US-Bundesbehörden, die auf die betroffene MOVEit-Software vertrauten, sind von dem Massen-Hack betroffen. Clop soll eine Schwachstelle in der Software entdeckt haben, die es den Cyberkriminellen ermöglichte, das Internet nach betroffenen Geräten zu durchsuchen und die darin enthaltenen Daten massenhaft zu plündern. Clop ist in den letzten Jahren auch für das Hacken von mindestens zwei anderen Dateiübertragungstools verantwortlich.
Allan Liska, Threat-Intelligence-Analyst bei Recorded Future, sagte am Donnerstag auf der Disrupt-Konferenz von Tech in San Francisco, dass Dateiübertragungstools wie MOVEit eine temporäre Plattform für die Datenübertragung sein sollten, viele Unternehmen jedoch jahrelang Daten auf diesen Servern hätten .
„Zu verstehen, wo und wie Ihre Daten gespeichert werden, wer über Ihre Daten verfügt usw., ist eine zusätzliche Herausforderung, mit der sich Unternehmen auseinandersetzen müssen“, sagte Liska.
Nach den neuesten Daten von Sicherheitsfirma Emsisoft, BORN ist nach Maximus, Alogent und den Bundesstaaten Louisiana, Colorado und Oregon der sechstgrößte Datenverstoß durch Personen, die von den MOVEit-Massenhacks betroffen sind. Letzte Woche teilte das National Student Clearinghouse mit, dass die Datenpanne im Zusammenhang mit MOVEit fast 900 Schulen in den Vereinigten Staaten betroffen habe.
Aktualisiert mit Kommentar des Informations- und Datenschutzbeauftragten von Ontario.