Персональные данные: медцентр заплатит $2,65 млн жертвам утечки

В США медицинский центр университета Питсбурга (UPMC) достиг соглашения о выплате компенсаций за утечку, в результате которой были скомпрометированы персональные данные тысяч сотрудников. Эти персональные данные были украдены бывшим государственным служащим, пишет InfoSecurity Magazine.

Согласно обнародованному судебному решению, медицинский центр Питсбургского университета согласился выплатить в общей сложности $2,65 пострадавшим от утечки конфиденциальной информации сотрудникам и пациентам. Всего в списке пострадавших более 66 тыс. человек – их конфиденциальная информация была украдены бывшим ИТ-специалистом Федерального агентства по чрезвычайным ситуациям (FEMA) Джастином Шоном Джонсоном (Justin Sean Johnson).

Установлено, что житель Детройта Джонсон, известный в даркнете под псевдонимами TheDearthStar и Dearthy Star, в 2013-2014 гг. взламывал бизнес-приложение Oracle Peoplesoft, которое использовалось UPMC. Получив доступ к базе данных HR-службы центра, злоумышленник похитил личную идентификационную информацию  (PII), а также данные из форм W-2 (служат для оформления налоговых вычетов). Эти персональные данные принадлежали сотрудникам UPMC (вероятно, речь в материале идет как о бывших и действующих сотрудниках медицинского центра, так и о соискателях). В частности, Джонсон завладел именами, адресами, номерами социального страхования (SSN), а также сведениями о зарплате и банковских счетах.

Позже Джастин Джонсон на подпольном форуме продал украденную информацию преступникам, которые использовали ее для подачи ложных налоговых деклараций. По данным министерства юстиции США, только в 2014 г. мошенникам удалось оформить декларации на сотни тысяч долларов. Чтобы замести следы, преступная группа покупала подарочные карты Amazon, на которые затем покупала различные товары и отправляла их в Венесуэлу. Американская налоговая служба оценивает общие потери от реализации этой мошеннической схемы в $1,7 млн.

Джонсона удалось арестовать только в мае 2020 г. Спустя год он был признан виновным в суде. К этому времени уполномоченные органы рассмотрели коллективный иск от пострадавших сотрудников UPMC. В нем медицинский центр обвиняли в халатности и в том, что не была обеспечена защита персональных данных. В иске утверждалось, что UPMC не соблюдал общепринятые стандарты, касающиеся обеспечения безопасности, в результате чего защита персональных данных оказалась нарушена.

Судом первой инстанции иск был отклонен, однако верховный суд штата Пенсильвания встал на сторону пострадавших сотрудников.

Ранее в этом году UPMC потерпел еще одну крупную утечку персональных данных. В результате атаки на одного из поставщиков была украдена информация более 36 тыс. пациентов.