Een Amerikaans advocatenkantoor dat had nagelaten een beschikbare beveiligingsupdate voor Microsoft Exchange Server te installeren waardoor criminelen gevoelige gegevens van 115.000 mensen konden stelen heeft een boete van 200.000 dollar gekregen. Advocatenkantoor Heidell, Pittoni, Murphy & Bach LLP (HPMB) vertegenwoordigt ziekenhuizen in de Amerikaanse staat New York en beheert in die rol gevoelige privégegevens van patiënten, waaronder geboortedatums, social-securitynummers, gezondheidsverzekeringsinformatie, medisch verleden en gegevens over behandelingen.

In november 2021 wist een aanvaller via een kwetsbare Microsoft Exchange-server van HPMB toegang tot de systemen van het advocatenkantoor te krijgen en de patiëntgegevens te stelen. Een beveiligingsupdate voor deze kwetsbaarheid was een aantal maanden eerder door Microsoft beschikbaar gemaakt, maar HPMB had de patch niet geïnstalleerd. In december 2021 werd er vervolgens data van de systemen gestolen en ransomware uitgerold. Verder onderzoek wees uit dat de gegevens van 115.000 mensen waren buitgemaakt.

In mei vorig jaar werden slachtoffers van het datalek door het advocatenkantoor ingelicht. De procureur-generaal van de staat New York startte een onderzoek en stelde vast dat HPMB geen redelijke maatregelen had genomen om de gegevens van mensen te beschermen, waaronder het versleutelen van privégegevens en het toepassen van dataminimalisatie. Naast de boete van 200.000 dollar moet het advocatenkantoor aanvullende maatregelen doorvoeren, waaronder het implementeren van patchmanagement, logging, monitoring en het toepassen van encryptie.