El proveedor de servicios ópticos y cadena de ópticas EyeMed Vision Care ha recibido una cuantiosa sanción económica por un incidente de ciberseguridad ocurrido hace 2 años. Un ciberdelincuente logró colarse en la cuenta de email de un solo empleado para enviar emails de phishing a sus contactos dentro de la libreta de direcciones.
La compañía ha acordado con el Departamento de Servicios Financieros de Nueva York (DFS) el pago de 4,5 millones de dólares por el ataque a su correo electrónico y filtración de datos de 2020.
Para descubrir cómo obró la empresa y determinar la cuantía de la sanción se ha realizado una exhaustiva investigación. La misma se inició después de que EyeMed informara del incidente... que había ocurrido cinco meses antes.
Esta auditoría ha determinado que "la falta de una evaluación de riesgos de ciberseguridad de EyeMed para evaluar y abordar los riesgos de sus sistemas de información y la información no pública almacenada en sus redes dejó a EyeMed vulnerable a los actores de amenazas, incluyendo al tercero que inició el ciberevento".
Además, se ha encontrado que la compañía óptica no había hecho los deberes en materia de autenticación multifactor. "En el momento del ciberataque EyeMed estaba en proceso de implementar MFA para su entorno de correo electrónico, pero aún no lo había incluido para el buzón de correo, como requiere la regulación de ciberseguridad”, reza el informe.
La regulación entró en vigor el 1 de marzo de 2018, pero EyeMed no se puso manos a la obra para actualizarse a la normativa hasta dos años después de dicha fecha. El proyecto para incorporar la autenticación de doble factor no concluyó hasta septiembre de 2020.
EyeMed tampoco implementó suficientes procesos de retención y eliminación de datos requeridos por DFS. Es decir, la cuenta pirateada contenía "más de seis años de información no pública del consumidor, incluida la de menores". Para el DFS, "si estos controles hubieran estado en su lugar, el evento de seguridad cibernética del 1 de julio de 2020 podría haberse evitado o haber tenido un alcance limitado".
El DFS también descubrió que EyeMed no había realizado una evaluación de riesgos adecuada entre 2018 y 2021, que habría identificado los riesgos de eliminación de datos y privilegios de acceso vinculados a sus cuentas de correo electrónico.
La multa era menor, pero EyeMed se calló cosas
Esta no es la primera multa que recibe EyeMed por este incidente, según recuerda SC Magazine. Anteriormente había acordado pagar 600.000 dólares, pero una investigación estatal determinó varias discrepancias que habrían elevado la cifra final.
En primer lugar, EyeMed se reservó para sí misma que el hacker había enviado al menos 2.000 emails de phishing desde su cuenta comprometida durante el tiempo en el que tuvo acceso. Estos resultaron bastante dañinos porque eran solicitudes de credenciales para engañar a las víctimas.
Además, el equipo de TI recibió consultas de los clientes y detectó las transmisiones sospechosas el 1 de julio. Si bien EyeMed informó anteriormente sobre que el acceso a la cuenta estaba bloqueado y asegurado el mismo día en que se descubrió, la investigación anterior encontró que el ataque comenzó una semana antes de que se descubriera.
En total, 2,1 millones de clientes actuales y anteriores de la firma y de empresas de seguros se vieron afectados por el incidente.
La información que se filtró incluía números de cuenta y de identificación del seguro médico y de la visión, números de Medicaid o Medicare, licencias de conducir, identificaciones gubernamentales y certificados de nacimiento o matrimonio. Algunos miembros incluso vieron comprometidos sus números de Seguro Social, datos financieros, diagnósticos, condiciones de salud, tratamientos y otros datos confidenciales.