6 de abril de 2025

Cidade dos EUA multada por roubo de dados de ex-funcionário

3 de novembro de 2020

Uma cidade dos Estados Unidos foi multada em mais de US $ 200 mil por não rescindir os direitos de acesso de um ex-funcionário que roubou informações protegidas de saúde.

New Haven, Connecticut, concordou em pagar uma multa de $ 202.400 ao Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos e adotar um plano de ação corretiva   que inclui dois anos de monitoramento para resolver uma violação da HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde) caso. 

O OCR iniciou uma investigação em maio de 2017, após receber uma notificação de violação de dados de New Haven em janeiro daquele ano. O OCR descobriu que o departamento de saúde da cidade falhou em remover os direitos de acesso de uma funcionária que havia sido demitida no verão anterior, durante seu período probatório.

Após ter sido demitido pela secretaria de saúde em 27 de julho de 2016, o ex-funcionário deixou o trabalho apenas para retornar com representante sindical oito dias depois. 

O OCR declarou: “Usando sua chave de trabalho, a ex-funcionária entrou em seu antigo escritório e se trancou junto com o representante do sindicato. Enquanto estava dentro do escritório, a ex-funcionária se conectou a seu antigo computador, com seu nome de usuário e senha, e baixou informações fora de seu computador em uma unidade USB. “

Um estudante estagiário testemunhou o ex-funcionário recolhendo caixas contendo itens pessoais e documentos em papel antes de deixar o prédio com o representante sindical.

Um arquivo contendo informações de saúde protegidas de quase 500 pacientes estava entre os dados roubados pelo funcionário. As informações expostas no incidente de segurança incluíram os resultados dos testes de doenças sexualmente transmissíveis juntamente com os nomes dos pacientes, endereços, datas de nascimento, sexo e raça / etnia.

A funcionária demitida compartilhou suas credenciais de login com um estagiário, que as usou para acessar PHI na rede. O estagiário continuou acessando os dados após o desligamento do funcionário. 

Os investigadores do OCR descobriram que New Haven falhou em conduzir uma análise de risco em toda a empresa e não implementou procedimentos de rescisão e controles de acesso, como identificação de usuário único.

“Os provedores de serviços médicos precisam saber quem em sua organização pode acessar os dados do paciente a qualquer momento. Quando o emprego de alguém termina, o mesmo ocorre com o acesso aos registros do paciente ”, disse o diretor do OCR, Roger Severino.

Fonte: https://www.infosecurity-magazine.com/news/us-city-fined-over-former/ 

Matérias Relacionadas

OVHcloud culpa ataque DDoS recorde de botnet MikroTik

5 de julho de 2024

Exchange DMM sofre roubo de mais de U$300mi em bitcoin

3 de junho de 2024

Todos os funcionários do Santander e ’30 milhões’ de clientes na Espanha, Chile e Uruguai foram hackeados

31 de maio de 2024

Veja mais..

Pesquisadores descobrem a família de malware Shelby que abusa do GitHub para comando e controle

1 de abril de 2025

Hackers abusam de plugins MU do WordPress para esconder código malicioso

1 de abril de 2025

Google lança duas novas ferramentas de IA para detectar golpes conversacionais em dispositivos Android

6 de março de 2025

APT28 aprimora técnicas de ofuscação com trojans HTA avançados

6 de março de 2025

Vulnerabilidade crítica no plugin ChatyPro expõe milhares de sites WordPress

6 de março de 2025