小児メンタルヘルス プロバイダーのブライトラインは、安全なファイル共有プラットフォーム Fortra GoAnywhere MFT のゼロデイ脆弱性を利用してランサムウェア ギャングがデータを盗んだ後、783,606 人に影響を与えるデータ侵害を受けたことを患者に警告しています。
Brightline は、子供、10 代の若者、およびその家族に仮想カウンセリングを提供する精神および行動の健康プロバイダーです。
同社のウェブサイトに表示された新しい「データ セキュリティ通知」で、ブライトラインは、保護された健康情報を含むデータが GoAnywhere MFT サービスから盗まれたことを確認しました。
これらの攻撃は、CVE-2023-0669 として追跡されているゼロデイ脆弱性を利用して130 社の企業からデータを盗んだとされるClop ランサムウェア ギャングによって実行されました。
Fortra の調査に関する最新情報によると、攻撃者は 2023 年 1 月 18 日からこの脆弱性を利用し始めました。
ブライトラインは、2023 年 3 月 16 日にクロップの恐喝ポータルに掲載されました。これは、ランサムウェア攻撃者が大規模な攻撃で侵入した企業の 1 つにブライトラインが含まれていたことを示しています。
同社の内部調査により、Clop ランサムウェア ギャングによって盗まれたデータには、次の個人情報が含まれていたことが明らかになりました。
- フルネーム
- 物理アドレス
- 生年月日
- 会員識別番号
- 健康保険適用日
- 雇用主の名前
この通知は、この事件により Aetna メンバー ID が侵害されていないことを明確にしています。
ブライトラインのセキュリティ通知には、「このインシデントに気付くとすぐに、Fortra が無許可のユーザーの資格情報を非アクティブ化し、サービスを停止し、バージョンを再構築して脆弱性がなくなったことを確認することにより、調査のための迅速な措置を講じました」と書かれています。
「さらに、検証済みのユーザーへの継続的なアクセスを制限し、サービスからすべてのデータを削除し、代替のファイル転送ソリューションが特定されて実装されるまで、データの露出を減らすための継続的な対策を継続するなど、追加のセキュリティ対策を実装しました。」
Brightline と米国の医療機関および企業との広範なパートナーシップにより、多くのエンティティに影響を与えるセキュリティ インシデントが発生しました。これには、ディアジオ、Nintendo of America Inc.、ハーバード大学、スタンフォード大学、ボストン小児病院などの有名な組織が含まれます。
影響を受けるエンティティの完全なリストは、こちらで確認できます。
米国保健社会福祉省の侵害ポータルで本日公開されたデータによると、このインシデントは合計 783,606 人に影響を与えました。
ただし、この数値は、内部調査が進むにつれて増加する可能性があります。 Brightline は、政府ポータルで 8 つの個別のエントリしか送信しませんでした。これは、影響を受ける 8 つのエンティティに対応すると考えられますが、その Web サイトには、より多くの影響を受ける組織がリストされています。
ブライトラインは、影響を受けるすべての個人に、Cyberscout を介して 2 年間の個人情報の盗難および信用監視サービスを無料で提供します。
Comments