Больницы в США бессильны против утечек информации

Министерство здравоохранения и социальных служб США зафиксировало еще 10 случаев утечки данных за последнее время. В пяти из них речь идет о краже ноутбуков с незашифрованными данными. Сообщений об инцидентах не появлялось ни в прессе, ни на сайте виновных организаций.

Центральный фонд здравоохранения и благосостояния юго-восточных и юго-западных штатов в Иллинойсе зафиксировал около 754 случаев «несанкционированного доступа/распространения, и т. п.» бумажных записей. Компания Liberty Resources, Inc. в штате Пенсильвания уведомила 3183 клиентов о краже ноутбука, в котором хранились конфиденциальные данные. Клиника Tricounty Behavioral Health в Акворте, штат Джорджия, уведомила 4000 пациентов об утечке данных вследствие кражи ноутбука 26 августа. На их сайтах нет никакой информации об инцидентах, так же нет упоминаний в СМИ, передает infowatch.ru.

Об утечке информации в больнице при Говардском Университете, произошедшей 25 января из-за кражи ноутбука, было оповещено 64 846 пациента. Ранее представители Говардского Университета сообщали о 34 503 пострадавших в инциденте.

И еще несколько случаев, информация о которых была сокрыта. По сообщению, поступившему в департамент шерифа графства Чероки, из кабинета врача клиники в Акворте был украден ноутбук. Количество пострадавших выяснить не удалось. Шарлота Кларк-Нитцель, доктор медицинских наук из Олимпии, штат Вашингтон, сообщила 942 пациентам о краже ноутбука, произошедшей 24 июля. Клиника Lana Medical Care во Флориде сообщила 500 пациентам о краже ноутбука, произошедшей 18 августа.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Zyxel устранила 4 уязвимости, затрагивающие межсетевые экраны и AP-продукты

Тайваньский производитель сетевого оборудования Zyxel выпустил патчи, которые должны устранить четыре уязвимости, затрагивающие межсетевой экран, технологию AP Controller и AP-продукты. По словам разработчиков, эти бреши могут привести к выполнению команд на уровне ОС, а также к краже информации.

На официальном сайте Zyxel приводятся следующие сведения по поводу выявленных и устранённых уязвимостей:

CVE-2022-0734 — межсайтовый скриптинг (XSS) в отдельных версиях файрвола. Этот баг можно использовать для получения доступа к информации, хранящейся в браузере пользователя: файлам cookies, токенам сессий и т. п. Для эксплуатации достаточно написать вредоносный скрипт.

CVE-2022-26531 — под этим идентификатором объединили несколько проблем, связанных с проверкой ввода в командах CLI (command line interface, «интерфейс командной строки»). Эти дыры можно использовать для вызова сбоев в работе системы.

CVE-2022-26532 — возможность инъекции команд в “packet-trace“, что может привести к выполнению кода.

CVE-2022-0910 — позволяет обойти процесс аутентификации, после чего злоумышленник может заменить 2FA на один фактор (даунгрейд).

Стоит учесть, что патч для CVE-2022-26531 и CVE-2022-26532 в AP Controller можно установить только после обращения к соответствующим командам техподдержки Zyxel.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru