オランダ当局によると、脅威アクターが第三者の研究所に不正アクセスした結果、子宮頸がん検診プログラムの参加者48万5,000人以上のデータが盗まれました。
この攻撃は、ロッテルダム近郊のライスウェイクにある臨床診断NMDL研究所で、7月3日から6日の間に発生しました。
しかし、ユーロフィン・サイエンティフィックの子会社であるこの研究所は、8月6日まで当局に通報しなかったと、オランダ人口スクリーニング協会(BDO)が昨日発表したニュースリリースで明らかにしました。
BDOによると、盗まれた情報には氏名、住所、生年月日、市民サービス番号(BSN)、検査結果の可能性、参加者の医療提供者名などが含まれていると考えられています。被害者の一部については、メールアドレスや電話番号も盗まれました。
医療分野の情報漏洩についてさらに読む:腎臓透析プロバイダーDaVitaへのサイバー攻撃で臨床データが盗まれる
BDOは、ITセキュリティシステムの独立調査を実施する間、研究所でのサービスを一時停止しています。市民は引き続き検診プログラムに参加でき、結果の処理には別の研究所が使用されるとしています。
しかしBDOは、脅威アクターが盗まれた情報を販売または公開した場合、さらなる詐欺の可能性があると被害者に警告しています。今回の漏洩で影響を受けた人々には、現在オランダ当局から通知が行われています。
「私たちはこのデータ漏洩に深く衝撃を受けており、当協会を通じて人口スクリーニングに参加された方々も非常にショックを受けていることを理解しています。このような事態が発生したことについて、心よりお詫び申し上げます」と、BDO会長のエルザ・デン・ヘルトグ氏は述べました。
「子宮頸がん検診プログラムへの参加は、多くの方にとってすでにストレスの多い経験です。そこに加えて、個人情報が漏洩した可能性があると知らされるのです。」
最も弱いリンク
しかし、この漏洩は当初考えられていたよりもさらに深刻かもしれません。一部の地元報道によると、ハッカーは過去3年間にこの研究所を利用した他の患者の個人情報や医療情報も入手した可能性があり、最大で300GBものデータが盗まれたとされています。
Forescoutのセキュリティインテリジェンス担当副社長リック・ファーガソン氏は、この事件が、たった一つの弱点が多くの被害者に大きな影響を与えることを浮き彫りにしたと指摘しています。
「攻撃者は管理されていないもの、監視されていないものを狙います。見えなければ守れませんし、侵害されたときに封じ込めることもできません」と彼は述べています。
「これは、パッチを早く当てるとか、新しい製品を買うという話ではありません。明確な可視性とコントロールに基づいたセキュリティ体制を構築することが重要なのです。」
翻訳元: https://www.infosecurity-magazine.com/news/hackers-raid-dutch-lab-steal-data/