Die Stadt Philadelphia deckte auf, dass ein im Oktober 2024 bekannt gewordenes Problem die persönlichen und geschützten Gesundheitsdaten von mehr als 35.000 Personen betraf.
Die Untersuchung ergab, dass sich die Angreifer zwischen dem 26. Mai 2023 und dem 28. Juli 2023 Zugang zu mehreren E-Mail-Konten verschafften.
Als die Stadt im Oktober die Datenschutzverletzung bekannt gab, enthüllte sie auch die Arten von Informationen, die bei den betroffenen Personen offengelegt wurden, darunter eine Kombination von Informationen:
- demografische Informationen wie Name, Adresse, Geburtsdatum,
- Sozialversicherungsnummer und andere Kontaktinformationen;
- medizinische Informationen, wie Diagnosen und andere behandlungsbezogene Informationen;
- und begrenzte Finanzinformationen, wie z. B. Informationen über Schadensfälle.
Nach Angaben der Stadt waren 35.881 Personen von dem Datenschutzverstoß betroffen, wie sie in einem Schreiben an die Generalstaatsanwaltschaft von Maine mitteilte.
Die betroffenen Personen, deren persönliche Daten (einschließlich Name, Adresse, Sozialversicherungsnummer und Finanzkontoinformationen) durch die Sicherheitsverletzung offengelegt wurden, wurden am Montag, den 8. Juli, benachrichtigt.
Die Stadt verschickte außerdem am 16. Mai Benachrichtigungen über die Datenschutzverletzung an Personen, deren geschützte Gesundheitsdaten bei der Verletzung preisgegeben wurden.
"Im Übermaß an Vorsicht haben wir eine gründliche und eingehende Überprüfung durchgeführt, um festzustellen, welche Informationen potenziell zugänglich waren und auf wen sich diese Informationen beziehen", heißt es in den Benachrichtigungsschreiben, die an die Betroffenen verschickt wurden.
"Sobald dies abgeschlossen war, arbeiteten wir auch daran, die Ergebnisse zu validieren und fehlende Adressdaten der potenziell Betroffenen zu ermitteln. Wir haben diesen Prozess vor kurzem abgeschlossen und dann so schnell wie möglich eine Mitteilung veröffentlicht.
Die Stadt hat die Strafverfolgungsbehörden des Bundes über den Verstoß informiert, verbessert die Sicherheitsvorkehrungen und die Schulung ihrer Mitarbeiter und bietet den Betroffenen 12 Monate lang kostenlose Kreditüberwachungsdienste an.
Außerdem erhalten sie Hinweise, wie sie sich besser vor Identitätsdiebstahl und -betrug schützen können, einschließlich Ratschlägen zur Meldung von Verdachtsfällen an ihre Bank, ihr Kreditkartenunternehmen oder eine andere zuständige Einrichtung.
Die Stadtverwaltung muss noch erklären, wie die Angreifer in die E-Mail-Konten der Stadt eingedrungen sind und warum sie die Offenlegung fünf Monate lang hinausgezögert haben.
Das städtische Department of Behavioral Health and Intellectual Disability Services (DBHIDS) hat vor vier Jahren, im Juni 2020, ebenfalls einen HIPAA-Verstoß bekannt gegeben, nachdem die persönlichen Gesundheitsdaten der von ihm betreuten Personen durch einen Phishing-Angriff kompromittiert worden waren.
Eine auf der Website der Organisation veröffentlichte Mitteilung über die Sicherheitsverletzung enthüllte damals, dass die Angreifer zwischen dem 31. März und dem 15. November 2020 auf die gehackten E-Mail-Konten der Mitarbeiter von DBHIDS und Community Behavioral Health zugegriffen hatten.
