Schuldig bekannt: Security-Experte hackte Krankenhäuser zwecks Kundengewinnung
Der ehemalige COO hat Daten von mehr als 300 US-Patienten abgegriffen und einen Teil davon später auf Twitter verbreitet, um neue Kunden zu gewinnen.
Ein ehemaliger Chief Operating Officer (COO) der US-amerikanischen Cybersicherheitsfirma Securolytics hat sich schuldig bekannt, in der Vergangenheit zwei Krankenhäuser gehackt zu haben, um die Geschäftszahlen seines Unternehmens aufzubessern. Wie aus einem Bericht von Bleeping Computer hervorgeht, gehörten wohl beide angegriffenen Einrichtungen zum Gwinnett Medical Center (GMC).
Stattgefunden habe der Cyberangriff am oder um den 27. September 2018, heißt es im kürzlich veröffentlichten Schuldbekenntnis (PDF). Der Angeklagte habe damals die Telefon- und Netzwerkdruckerdienste des Gesundheitsdienstleisters gestört und persönliche Daten von mehr als 300 Patienten von einem Digitalisierungsgerät abgegriffen, das mit einem Mammografiegerät verbunden gewesen sei.
Patientendaten nach Cyberangriff veröffentlicht
Persönliche Daten von insgesamt 43 Patienten habe der Angreifer anschließend auf Twitter veröffentlicht – darunter deren Namen, Geburtsdaten und Geschlecht. Die Daten seien auf 43 Tweets verteilt gewesen, wobei der Angeklagte in jedem davon darauf hingewiesen habe, dass das GMC gehackt worden sei.
Darüber hinaus habe der ehemalige Securolytics-COO die abgegriffenen Patientendaten auf mehr als 200 Druckern innerhalb der angegriffenen Krankenhäuser ausdrucken lassen, zusammen mit der Nachricht "We own you". Später habe der Angreifer dann potenziell betroffene Kunden per E-Mail über den Sicherheitsvorfall in den Krankenhäusern informiert und ihnen die Dienste seines Unternehmens angeboten.
57 Monate unter Hausarrest
Der dem GMC entstandene Schaden wird auf rund 818.000 US-Dollar beziffert. Der Angeklagte erklärte sich bereit, diesen Betrag zuzüglich Zinsen an das betroffene Northside Hospital sowie die Versicherungsgesellschaft Ace American Insurance Company zurückzuzahlen.
Darüber hinaus erwartet den Angeklagten eine Bewährungsstrafe von 57 Monaten, die er unter Hausarrest verbringen soll. Dabei wurde berücksichtigt, dass der ehemalige Securolytics-COO unter einer seltenen und unheilbaren Form von Krebs sowie einer potenziell gefährlichen Gefäßkrankheit leidet. Eine Inhaftierung würde wohl dazu führen, dass ihm eine angemessene medizinische Versorgung verwehrt bliebe.
Jegliche Ethik und Moral wird fallengelassen... Mir unverständlich. Ich habe vor ein paar...