Misdirected Spyware Infects Ohio Hospital

Det var en dålig idé från början, men även som dåliga idéer går, gick det här hemskt.

En 38-årig Avon Lake, Ohio, är mannen inställd på att åtala sig för federala avgifter efter spionprogram som han enligt uppgift skulle installera på datorn av en kvinna hade han haft ett förhållande med att hamna infekterade datorer på Akron Children's Hospital. I slutet av februari 2008 skällde Scott Graham ut USD 115 för ett spionprogram som heter SpyAgent och skickade det till kvinnan enligt en grund överenskommelse inlämnad i den amerikanska tingsrätten för nordöstra distriktet i Ohio.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Han har angivit skickat spionprogrammet till kvinnans Yahoo-e-postadress, i hopp om att det skulle ge honom ett sätt att övervaka vad hon gjorde på sin dator. Men istället öppnade hon spionprogrammet på en dator i sjukhusets hjärtkirurgiska avdelning, vilket skapade en regelmässig mardröm för sjukhuset.

Klagomålet förklarar inte hur Graham lyckades övertyga kvinnan om att installera programmet, men smarta angripare ofta lura sina offer för att klicka på filer genom att säga att de är intressanta videor eller någon form av användbar programvara.

Mellan 19 mars och 28 mars skickade spionprogrammet mer än 1.000 skärmbilder till Graham via e-post. De innehöll uppgifter om medicinska förfaranden, diagnostiska anteckningar och annan konfidentiell information avseende 62 sjukhuspatienter. Han kunde också skaffa e-post och finansiella register över fyra andra sjukhuspersonal även i överenskommelsen om åtal.

Graham, som formellt kommer att inleda en skyldig talan den 30 september till ett antal olagliga avlyssningar av elektroniska kommunikation, kommer att betala 33.000 dollar till sjukhuset för skador som orsakats av händelsen. Han står inför en maximal straff på fem år i fängelse. "Scott Graham tar ansvar för sitt beteende, men det var aldrig hans avsikt att skada någon organisation eller enhet", säger hans advokat Ian Friedman i en telefonintervju. "Han var tvungen att lära sig det svåra sättet att det som kan marknadsföras på Internet inte ger upphov till vad som lovas."

Produkter som SpyAgent marknadsförs som legitima verktyg för att hjälpa arbetsgivare eller oroade föräldrar att hålla reda på vad som händer med deras datorer, men de kan lätt missbrukas för att spionera på oskyldiga offer, säger Eric Howes, chef för forskningstjänster med antivirusföretaget Sunbelt Software.

Hans företag flaggar SpyAgent som en "kommersiell keylogger".

"Våra företagskunder är oroade för att sådana verktyg används obehörigt på sina nätverk, säger Howes. "De har fullständigt legitima användningsområden, men om jag gick hem och hittade en kopia av [den här typen av programvara] på min dator skulle jag vara orolig."

Still Howes fel på sjukhusets IT-personal för att låta någon ladda ner spionprogram från Yahoo-post och installera det på sina system. "Det pekar på en säkerhet som misslyckas på det sjukhuset, men då är de inte så annorlunda än 99 procent av företagen där ute," sa han.

Många företag blockerar arbetstagare från att komma åt personliga webbplatser som Yahoo eller Facebook.

Den amerikanska advokat som åtalade detta ärende, Robert Kern, gav inte tillbaka meddelanden som sökte kommentarer. En talesman med Akrons barnsjukhus var inte medveten om fallet och kunde inte kommentera.