Die Folgen des Massen-Ransomware-Angriffs von Fortra gehen weiter, da ein anderer Unternehmensriese bestätigte, dass Tausende von Mitgliedern des Gesundheitswesens bei dem Cyberangriff Informationen gestohlen hatten.
Das in Florida ansässige Technologieunternehmen NationsBenefits sagte in a Hinweis auf Datenschutzverletzung reichte beim Generalstaatsanwalt von New Hampshire ein, dass bei dem Ransomware-Angriff auf die Systeme von Fortra Ende Januar persönliche Daten von mehr als 7.100 Einwohnern des Bundesstaates gestohlen wurden.
NationsBenefits bietet Zusatzleistungen für Krankenversicherte, wie z. B. Seh-, Hör- und rezeptfreie Medikamente.
Die Datenschutzverletzung besagt, dass Hacker persönliche Informationen von NationsBenefits-Mitgliedern gestohlen haben, die in der von Fortra gehosteten Instanz von GoAnywhere gespeichert sind, einem Dateiübertragungs-Softwaretool, das von Tausenden von Organisationen verwendet wird, um große Datensätze über das Internet auszutauschen.
Hacker nutzten eine zuvor unbekannte Schwachstelle, um Dutzende von Kunden-GoAnywhere-Instanzen zu überfallen, die von Fortra im Januar-Massenhack gehostet wurden. Die Clop-Ransomware-Gang behauptet verantwortlich und behauptete, Daten von mehr als hundert Organisationen gestohlen zu haben.
NationsBenefits gab in seiner Datenschutzverletzungsmitteilung nicht an, welche persönlichen Daten bestimmter Mitglieder bei dem Angriff gestohlen wurden.
Als er von Tech erreicht wurde, weigerte sich der Sprecher von NationsBenefits, Michael Fried, zu sagen, welche spezifischen Mitgliederdaten bei dem Vorfall gestohlen wurden, und fügte hinzu, dass das Unternehmen „alle rechtlichen und kommerziellen Verpflichtungen als Reaktion auf diesen Vorfall einhält“.
Es ist nicht bekannt, wie viele Personen mit Wohnsitz außerhalb von New Hampshire betroffen sind. NationsBenefits reichte auch in Kalifornien eine Datenschutzverletzung ein, aber Unternehmen sind nach den Gesetzen des Bundesstaates nicht verpflichtet, offenzulegen, wie viele Einwohner von einer Datenschutzverletzung betroffen sind. Unternehmen müssen Datenschutzverletzungen in Kalifornien normalerweise offenlegen, wenn 500 Einwohner oder mehr betroffen sind.
NationsBenefits hat mehr als 20 Millionen Mitglieder in den Vereinigten Staaten. Wie viele seiner Millionen Mitglieder von dem Verstoß betroffen sind, wollte der Unternehmenssprecher auf Nachfrage nicht sagen.
Das Unternehmen für Gesundheitsleistungen ist der jüngste Fortra-Kunde, der bestätigt, dass es von der Verletzung im Januar betroffen war. Der US-Gesundheitsriese Community Health Systems war das erste bestätigte Opfer und eines der am schlimmsten betroffenen, wobei die Hacker behaupteten, Daten von mindestens einer Million Patienten gestohlen zu haben. Der Konsumgüterriese Procter & Gamble, der Anbieter von Gesundheitsprogrammen US Wellness, der Investmentriese Onex, der britische Pension Protection Fund, Brightline und die Stadt Toronto haben allesamt Datendiebstähle nach dem Hack bestätigt.
Fortra wurde wegen seines schlechten Umgangs mit dem Verstoß kritisiert, zu dem auch das Verstecken von Details des Zero-Day-Exploits hinter einer Kundenloginwand gehörte. Die Nachricht von der Verletzung kam erst ans Licht, als Sicherheitsreporter Brian Krebs veröffentlichte die versteckte Offenlegung des Unternehmens online. Fortra patchte die Schwachstelle eine Woche später.
Tech hat das berichtet Fortra teilte einigen Kunden mit, dass ihre Daten sicher seiennur um festzustellen, dass ihre Daten gestohlen wurden, nachdem Hacker eine Lösegeldforderung gesendet hatten.
NationsBenefits räumte in seiner Erklärung ein: „Erst nachdem wir uns mit Fortra in Verbindung gesetzt hatten, bestätigten sie die Existenz der Schwachstelle.“
In seiner ersten öffentlichen Anerkennung des Verstoßes sagte Fortra in einem Blogbeitrag Dienstag, dass Kunden, die ihren eigenen On-Premise-Server betreiben, fast zwei Wochen vor der Kompromittierung der gehosteten Systeme von Fortra gehackt wurden.
Fortra-Sprecherin Rachel Woodford lehnte es ab, zu sagen, wie viele Kunden betroffen sind, oder sich über den Blogbeitrag des Unternehmens hinaus zu äußern.