Misdirected Spyware Infects Ohio Hospital

Det var en dårlig ide Fra begynnelsen, men til og med som dårlige ideer går, gikk dette forferdelig feil. En 9 år gammel Avon Lake, Ohio, er satt til å påtale seg for føderale anklager etter spionprogrammer han angivelig ment å installere på datamaskinen av en kvinne som han hadde hatt forhold til endte infiserte datamaskiner på Akron Children's Hospital.

I slutten av februar 2008 uthevet Scott Graham ut USD 115 for et spionprogram som heter SpyAgent og sendte det til kvinnen, ifølge en anke avtale innlevert i den amerikanske distriktsdomstolen for det nordøstlige distriktet i Ohio.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Han sendte angivelig spionprogrammet til kvinnens Yahoo e-postadresse, og håpet at det ville gi ham en måte å overvåke hva hun gjorde på sin PC. Men i stedet åpnet hun spionprogrammer på en datamaskin i sykehusets pediatriske hjertekirurgiavdeling, og skaper et regulatorisk mareritt på sykehuset.

Klagen forklarer ikke hvordan Graham klarte å overbevise kvinnen om å installere programmet, men klare angripere ofte lure sine ofre til å klikke på filer ved å si at de er interessante videoer eller en slags nyttig programvare.

Mellom 19. mars og 28. mars sendte spionprogrammerne mer enn 1000 skjermbilder til Graham via e-post. De inkluderte detaljer om medisinske prosedyrer, diagnostiske notater og annen konfidensiell informasjon knyttet til 62 sykehuspasienter. Han var også i stand til å skaffe seg e-post og økonomiske poster fra fire andre sykehusansatte også, sier saksavtalen.

Graham, som formelt skal innføre et skyldig anklagelse 30. september til en telle for ulovlig avskjæring av elektronisk kommunikasjon, vil betale 33.000 dollar til sykehuset for skader forårsaket av hendelsen. Han står overfor en maksimumsdom på fem år i fengsel. "Mens Scott Graham tar ansvar for sin oppførsel, var det aldri hans hensikt å skade noen organisasjon eller enhet," sa advokat Ian Friedman i et telefonintervju. "Han måtte lære den harde måten at det som kan bli annonsert på Internett, ikke nødvendigvis produserer det som er lovet."

Produkter som SpyAgent markedsføres som legitime verktøy for å hjelpe arbeidsgivere eller bekymrede foreldre å holde rede på hva som skjer med deres datamaskiner, men de kan enkelt misbrukes for å spionere på uskyldige ofre, sier Eric Howes, direktør for forskningstjenester med antivirusfirma Sunbelt Software.

Hans firma flagger SpyAgent som en "kommersiell keylogger."

"Våre bedriftskunder er bekymret for at disse verktøyene blir brukt på uautorisert måte i sine nettverk, sier Howes. "De har fullstendig legitim bruk, men hvis jeg dro hjem og fant en kopi av [denne typen programvare] på datamaskinen min, ville jeg være bekymret."

Still Howes feilet sykehusets IT-stab for å tillate noen å laste ned spionprogrammer fra Yahoo mail og installer den på sine systemer. "Det peker på et sikkerhetsfeil på det sykehuset, men da er de ikke så forskjellige fra 99 prosent av selskapene der ute," sa han.

Mange bedrifter blokkerer arbeidstakere fra å få tilgang til personlige nettsteder som Yahoo eller Facebook.

Den amerikanske advokat som påtalte denne saken, Robert Kern, returnerte ikke meldinger som søker kommentar. En talskvinne med Akron Children's Hospital var uvitende om saken og kunne ikke kommentere.