Ein Hacker, der sich selbst „thedarkoverlord“ nennt, bietet derzeit im Dark Web die Gesundheitsdaten von mehr als 10 Millionen US-Bürgern an. Darunter sind Krankenversicherungsakten von mehr als 9,2 Millionen Patienten. Für sie verlangt er 750 Bitcoins, was nach dem gestrigen Kurs 486.000 Dollar entspricht. Die Akten enthalten neben Namen und Anschriften auch E-Mail-Adressen, Telefonnummern, Geburtsdaten und Sozialversicherungsnummern. Motherboard liegen nach eigenen Angaben Auszüge der Daten vor. Der Blog kontaktierte daraufhin einige Nutzer, die die Echtzeit der Daten bestätigten.
Der Hacker selbst behauptet, die Daten seien bei einem Einbruch mithilfe einer bekannten Sicherheitslücke in Microsofts Remote Desktop Protocol (RDP) gestohlen worden. Es erlaubt die Fernsteuerung von Computern – der Hacker hatte also wahrscheinlich die vollständige Kontrolle über die von ihm kompromittierten Systeme.
Weitere fast 397.000 Datensätze stammen dem Verkäufer zufolge von Mitgliedern der Versicherungen Blue Cross, Blue Shield und United Healthcare im US-Bundesstaat Georgia. Der Preis für diese Daten liebt bei 300 Bitcoins oder 194.000 Dollar. 110.100 Dollar verlangt er für 270.000 Akten von einer nicht näher genannten Versicherung, die im mittleren Westen der USA aktiv ist. Eine kleinere Datenbank mit Informationen über 47.800 Versicherte aus dem US-Bundesstaat Missouri soll 39.000 Dollar kosten.
In einer Angebotsbeschreibung behauptet der Hacker, er habe die Daten in einem „internen Netzwerk“ gefunden. Dort seien sie unverschlüsselt gespeichert gewesen. Das wäre ein Verstoß gegen USA-weit geltende Regeln für die Speicherung von Gesundheitsdaten. Andere Akten sollen wiederum aus einer Microsoft-Access-Datenbank stammen.
Krankenversicherungen und Krankenhäuser sind inzwischen ein beliebtes Ziel von Hackern. Mehrere Kliniken in Nordrhein-Westfalen fielen Anfang des Jahres Viren zum Opfer. Die Systeme des Landeskrankenhauses in Neuss wurden beispielsweise durch Ransomware infiziert, was auch Einfluss auf den laufenden Betrieb hatte. Ein Krankenhaus in Los Angeles zahlte im Februar ein Lösegeld von umgerechnet 15.000 Euro, um seine infizierten Geräte wieder nutzen zu können.
Für Aufmerksamkeit sorgte im vergangenen Jahr der Hackerangriff auf den zweitgrößten US-Krankenversicherer Anthem. Unbekannte erbeuteten Daten von 78,8 Millionen Menschen, darunter auch Kunden, die die Versicherungsprogramme Blue Cross und Blue Shield genutzt hatten.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
1 Kommentar zu Hacker verkauft im Dark Web Patientenakten von Millionen von US-Nutzern
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Viele scheinen zu vergessen, dass alle diese schönen modernen und bequemen Einrichtungen, wie Remote-Zugriff, zentrale Datenhaltung in der Cloud, etc. einen erheblichen Mehraufwand beim Schutz der Daten und der Verbindungen erfordern, der auch mehr kostet. Das wollen aber die Finanzcontoller oft nicht einsehen (verkürzt):
Finanzcontroller (FC) : Wieso ist Ihr Budget für das nächste Jahr deutlich höher, als dieses Jahr??? – Sie sollten doch mindestens 10% einsparen!
Chef IT (CI) : Nächstes Jahr sollen wir doch mit Daten und Anwendungen in die Cloud und die Mitarbeiter sollen von zu Hause aus arbeiten.
FC: Aber dadurch sparen wir doch Geld!
CI: Dafür müssen wir aber zusätzliche Sicherheitseinrichtungen und -maßnahmen implementieren.
FC: Wieso? In der Cloud sind doch unsere Daten so sicher, wie hier bei uns und mit den Home Offices, da ist das Netzwerk halt ein bisschen größer.
CI: Ganz so einfach ist das aber nicht.
FC: Ist da schon mal was passiert?
CI: Bis jetzt noch nicht.
FC: Sehen Sie! Nicht immer so schwarz sehen. Also, Ihr Budget ist abgelehnt, kommen Sie nächste Woche mit einem den Vorgaben konformen Budget wieder.
(so ähnlich vor zwei Jahren bei einem Kunden passiert. Der CI hat inzwischen woanders einen Job, das Unternehmen tauchte neulich in der Liste derer auf, die Opfer von Datenverlusten waren)