A Kaiser Permanente declarou no início deste mês que uma violação de segurança ocorrida no dia 5 de abril, que comprometeu sua conta de e-mail, talvez tenha exposto os registros médicos de cerca de 70.000 pacientes.
Os agressores obtiveram acesso aos emails de um trabalhador da Kaiser Foundation Health Plan de Washington que continham “dados de saúde confidenciais”, comunicou a organização em uma comunicação aos clientes afectados no dia 3 de Junho.
O invasor manteve acesso ilegal por várias horas, que finalizou quando Kaiser começou a examinar a extensão do ocorrido, conforme informado na comunicação.

No entanto, mesmo Kaiser não estava totalmente seguro de que os invasores obtiveram informações confidenciais sobre a saúde dos seus clientes devido ao ataque, embora a companhia reconhecesse que não se pode afastar totalmente essa possibilidade.
Até o presente momento, a corporação afirmou que não há indícios de “fraude de identidade ou abuso de dados de saúde confiáveis” devido à violação.
Além de sua própria pesquisa, o Departamento de Saúde e Serviços Humanos dos EUA também está examinando a violação, de acordo com uma entrada no seu site que diz que o incidente afetou 69.589 pessoas.
Qual a resposta mais veloz?
Um trabalhador de segurança percebeu que, apesar de o Kaiser Permanente ser “proativo” ao alertar os seus principais clientes de grupo sobre a violação de dados, a incerteza sobre se os dados foram ou não roubados poderia sugerir que não houve resposta adequada à incidência.
Chris Clements, Vice-Presidente de Arquitetura de Soluções da Cerberus Sentinel, destacou em um e-mail para Threatpost que é fundamental que as organizações possuam controles de auditoria fortes para identificar rapidamente quais dados foram alvos de acesso por parte de invasores durante um ataque.
Ele também notou que a organização deveria ter agido mais prontamente para avisar àqueles que poderiam ser prejudicados, pois três meses é um período muito longo para que os invasores lucrassem com a infração.
Durante esse período, as pessoas afetadas podem ter sido objetos de atacantes usando qualquer informação particular obtida através de campanhas de engano convincentes”, declarou Clements. “É essencial que, como parte de suas principais iniciativas de segurança cibernética, eles incluam avaliar sua habilidade de identificar rapidamente a extensão de uma possível violação em análises de risco ou exercícios de simulação.”
Erro cometido pelo ser humano ainda é um grande problema de segurança.
O episódio também mostra mais uma vez qual foi e ainda é o maior perigo para a segurança das empresas: o erro cometido por seres humanos.
No relatório de 2022 da Verizon DBIR, uma avaliação abrangente das infrações de dados ocorridas no ano anterior, foi revelado que 82% dos incidentes examinados no último ano foram considerados como sendo de “origem humana”, que pode se referir a diversos motivos.
Sejam elas roubadas, obtidas por phishing, mal usadas ou simplesmente devido a um erro humano, as pessoas continuam a ser responsáveis por uma grande parte dos incidentes e violações, foi o que os pesquisadores informaram em seu relatório.
O comprometimento do e-mail empresarial (BEC) que parece ter resultado da violação do Kaiser é particularmente preocupante. Os invasores têm se tornado cada vez mais habilidosos em criar phishing socialmente qualificado e outras campanhas maliciosas de e-mail que induzem os funcionários inocentes a entregar as informações de suas contas de e-mail de negócios.
Isso pode ser o início de ações prejudiciais, pois quando um ator de ameaças consegue acesso inicial à rede de uma empresa, pode acarretar em atividades maliciosas, tais como o ransomware ou outros crimes financeiros motivados.
Realmente, as organizações têm gasto um enorme valor de US$ 43 bilhões entre junho de 2016 e dezembro de 2021 devido a ataques de Business Email Compromise (BEC). Specificamente, o FBI indicou que entre julho de 2019 e dezembro de 2021, estes golpes aumentaram em 65%, o que foi principalmente causado pela pandemia que obrigou a maioria dos negócios a serem realizados digitalmente.
Meu pedido é que você repasse esse artigo.
- O número de vendas ultrapassou o recorde anterior.
- Todos os seres humanos têm o direito básico de privacidade.