联邦政府因2020年大规模黑客攻击对佛罗里达儿童健康保险网站处以罚款 媒体

Jelly Bean Communications Design与佛罗里达健康儿童公司达成和解

关键要点

Jelly Bean Communications Design与佛罗里达健康儿童公司FHKC达成了293771美元的和解，以解决其在《虚假索赔法》下的指控。这些指控指向Jelly Bean在为佛罗里达健康儿童公司提供的服务中，故意未能提供足够的安全控制，导致了2021年第二大医疗数据泄露事件。

Jelly Bean负责创建、托管并维护由联邦资金支持的佛罗里达儿童健康保险网站，该网站为儿童提供健康和牙科保险，服务期限为2013年10月31日至2020年之间的州政府合同。

美国司法部DoJ对该公司的调查源于其在2021年2月发出的破坏通知，涉及350万名在线申请者和用户。通知详细说明了因Jelly Bean未能修补多个网站漏洞而导致的七年黑客攻击。

根据协议，Jelly Bean提供并托管的网站需要遵循《健康保险可携带性与责任法案安全规则》，该规则管理受保护的健康信息。该网站还包括了申请州医疗保险的在线申请功能。

然而，DoJ发现该公司及其经理、50股东和唯一员工Jeremy Spinks“故意未能妥善维护、修补和更新软件系统”，这使得网站和患者数据暴露于网络威胁之下。

“负责处理个人信息的政府承包商必须确保相关信息得到适当保护，”美国司法部民事部门负责人Brian Boynton在声明中表示。

健康儿童网站上超过50万份申请被入侵

针对Jelly Bean的指控集中在数据泄露通知中，具体说明了对大量申请者地址的未经授权访问。这些信息与其托管的网站和数据库一起被篡改，原因是存在“重大安全漏洞”，这使得攻击者能够从2013年11月开始利用这些数据。

这场为期七年的黑客攻击暴露了完整患者姓名、出生日期、社会安全号码、财务信息、家庭关系以及次要保险数据。

DoJ发现“与其在协议和发票中做出的表述相反，Jelly Bean并未提供安全的申请者个人信息托管使该网站和收集的申请者数据面临攻击风险。”

据悉，在HealthyKids网站上提交的超过500000个申请遭到黑客攻击。DoJ指控，该泄露直接源于Jelly Bean“运行多个过时且存在漏洞的应用程序”。其中一些软件自2013年11月以来未进行更新或修补。

因大规模黑客攻击和Jelly Bean的网络安全失败，FHKC于2020年12月关闭了该网站的申请门户。

“公司有根本责任保护其网站用户的个人信息，”美国卫生与公众服务部督察总署特别特工Omar Prez Aybar在一份声明中表示。“组织未能尽职尽责，保持软件应用程序的更新和安全，从而危及成千上万儿童的数据，这是不可接受的。”

该调查是在2021年10月6日DoJ启动的民事网络欺诈倡议下进行的。该倡议旨在针对那些故意提供不足的网络安全产品、误导网络实践或协议、或违反监控和报告事件及泄露的义务的实体或个人。

HHS OIG计划与联邦和州机构继续合作，确保医疗服务提供组织有效保护个人及受保护的健康信息。

DoJ计划利用其在《虚假索赔法》下的权力追究公司及管理层的责任，Boynton表示，特别是“当他们故意未能遵守网络安全义务并将敏感信息置于风险之中时。”

• • 2025-10-22 20:28:59
  • 8