Italien bøder OpenAI 15 millioner euro, cyberangreb på Texas Tech Health Sciences Centre: Your Cybersecurity Roundup
Italien bøder OpenAI €15 millioner for GDPR-overtrædelser i ChatGPT-datahåndtering
Italiens databeskyttelsesmyndighed, Garante, har pålagt OpenAI en bøde på €15 millioner ($15.66 millioner) for overtrædelse af EU's generelle databeskyttelsesforordning (GDPR) gennem sin generative AI-platform, ChatGPT. Denne dom følger efter myndighedens undersøgelse af OpenAI's praksis, som fandt, at virksomheden behandlede brugernes personlige oplysninger uden tilstrækkelig juridisk begrundelse eller gennemsigtighed.
Garante citerede specifikt OpenAI's manglende underretning om et sikkerhedsbrud i marts 2023 og dets utilstrækkelige foranstaltninger til aldersbekræftelse, som risikerer at udsætte børn under 13 for upassende indhold. Derudover blev OpenAI kritiseret for ikke at give brugere og ikke-brugere tilstrækkelig information om arten og formålene med dataindsamling og deres rettigheder i henhold til GDPR, herunder muligheden for at gøre indsigelse, rette eller slette deres data.
For at imødegå disse overtrædelser er OpenAI blevet beordret til at gennemføre en seks måneder lang kommunikationskampagne på tværs af forskellige mediekanaler for at oplyse offentligheden om, hvordan ChatGPT fungerer, hvilke data det indsamler, og hvordan brugere kan udøve deres rettigheder.
Cyberangreb på Texas Tech Health Sciences Centers kompromitterer data fra 1.4 millioner patienter
Texas Tech University Health Sciences Centers (TTUHSC) og dets El Paso-modstykke var målene for et betydeligt cyberangreb, der forstyrrede computersystemer og afslørede følsomme data fra cirka 1.4 millioner individer. Angrebet, der blev opdaget i september 2024, er blevet hævdet af Interlock ransomware-gruppen, som angiveligt stjal omkring 2.6 terabyte data. Disse data omfatter patientoplysninger, medicinske forskningsfiler, SQL-databaser og følsomme personlige identifikatorer.
TTUHSC, en vigtig akademisk og sundhedsinstitution inden for Texas Tech University System, uddanner og træner sundhedspersonale, udfører medicinsk forskning og leverer væsentlige patientplejetjenester. Efter angrebet blev det bekræftet, at ondsindede aktører havde uautoriseret adgang til netværket fra den 17. september til den 29. september 2024, hvilket gav dem mulighed for at eksfiltrere filer og mapper, der indeholdt kritisk information.
De kompromitterede data varierer for hver enkelt person, men kan omfatte fulde navne, fødselsdatoer, fysiske adresser, CPR-numre, kørekortnumre, statslige ID-numre, finansielle kontooplysninger, oplysninger om sygesikring og medicinske journaler, herunder diagnose- og behandlingsoplysninger. Universitetet sender skriftlige meddelelser til de berørte og tilbyder gratis kreditovervågningstjenester for at mindske potentielle risici for identitetstyveri og bedrageri.
Rumænsk hacker dømt til 20 år for NetWalker Ransomware-angreb
Daniel Christian Hulea, rumænsk statsborger, er blevet idømt 20 års fængsel af en amerikansk domstol for sin involvering i NetWalker-ransomware-operationen. Hulea erkendte sig skyldig i anklager om sammensværgelse af computersvindel og sammensværgelse af internetsvindel i juni, efter at han blev udleveret til USA efter hans anholdelse i Rumænien i juli 2023.
NetWalker, en Ransomware-as-a-Service (RaaS) operation, der har været aktiv siden 2019, målrettede ofre globalt, herunder sundhedsudbydere, nødtjenester, skoler og retshåndhævende myndigheder. Gruppen udnyttede Covid-19 pandemi for at intensivere angreb på sundhedsorganisationer.
Hulea indrømmede at have erhvervet cirka 1,595 bitcoins til en værdi af 21.5 millioner dollars på det tidspunkt fra ransomware-ofre. Han er blevet dømt til at betale næsten 15 millioner dollars i erstatning, miste 21.5 millioner dollars og give afkald på interesser i et indonesisk selskab og en luksusresortsejendom på Bali, finansieret med udbytte fra angrebene.
