Η HealthEC LLC, πάροχος λύσεων health management, υπέστη μια παραβίαση δεδομένων που επηρεάζει σχεδόν 4,5 εκατομμύρια άτομα. Ουσιαστικά, τα άτομα που επηρεάζονται είναι άτομα που είχαν λάβει υπηρεσίες περίθαλψης μέσω ενός από τους πελάτες της HealthEC.
Η HealthEC παρέχει μια πλατφόρμα population health management (PHM) που χρησιμοποιούν οι οργανισμοί υγειονομικής περίθαλψης για ενοποίηση δεδομένων, analytics, συντονισμό φροντίδας, συμμετοχή ασθενών κλπ.
Δείτε επίσης: Xerox: Η θυγατρική XBS U.S. έπεσε θύμα ransomware επίθεσης και παραβίασης δεδομένων
Στις 22 Δεκεμβρίου, η εταιρεία αποκάλυψε ότι υπέστη παραβίαση δεδομένων που έλαβε χώρα το καλοκαίρι (μεταξύ 14 και 23 Ιουλίου 2023). Οι επιτιθέμενοι απέκτησαν πρόσβαση σε κάποια συστήματα της εταιρείας. Μετά την ανακάλυψη του περιστατικού, ξεκίνησε έρευνα η οποία ολοκληρώθηκε στις 24 Οκτωβρίου 2023 και αποκάλυψε ότι ο εισβολέας είχε κλέψει αρχεία που περιείχαν τα ακόλουθα δεδομένα:
- Όνομα
- Διεύθυνση
- Ημερομηνία γέννησης
- Αριθμός κοινωνικής ασφάλισης
- ΑΦΜ
- Αριθμός Ιατρικού Μητρώου
- Ιατρικές πληροφορίες (διάγνωση, κωδικός διάγνωσης, ψυχική/σωματική κατάσταση, πληροφορίες συνταγής και όνομα και τοποθεσία του παρόχου)
- Πληροφορίες ασφάλισης υγείας (αριθμός δικαιούχου, αριθμός συνδρομητή, ταυτότητα Medicaid/Medicare)
- Πληροφορίες χρέωσης και αξιώσεων (αριθμός λογαριασμού ασθενούς, αριθμός ταυτότητας ασθενούς και πληροφορίες κόστους θεραπείας)
Λόγω της φύσης των δεδομένων που έχουν παραβιαστεί, η HealthEC συνιστά στους χρήστες να είναι ιδιαίτερα προσεκτικοί με πιθανά emails, μηνύματα ή κλήσεις που μπορεί να λάβουν. Οι επιτιθέμενοι μπορεί να χρησιμοποιήσουν αυτά τα στοιχεία για να τους εξαπατήσουν.
Η εταιρεία αναφέρει ότι αν κάποιος εντοπίσει ύποπτη δραστηριότητα θα πρέπει να την αναφέρει αμέσως στους αρμόδιους φορείς, “συμπεριλαμβανομένης μιας ασφαλιστικής εταιρείας, ενός παρόχου υγειονομικής περίθαλψης ή/και ενός χρηματοπιστωτικού ιδρύματος“.
Δείτε επίσης: EasyPark: Η παραβίαση δεδομένων μπορεί να επηρεάζει εκατομμύρια χρήστες
Την εποχή της κυβερνοεπίθεσης, η HealthEC δεν διευκρίνισε πόσα άτομα επηρεάστηκαν από την παραβίαση δεδομένων. Ωστόσο, μια υποβολή στο γραφείο του Γενικού Εισαγγελέα του Maine που αφορούσε μόνο έναν από τους πελάτες της εταιρείας, την MD Valuecare, όρισε τον αριθμό των επηρεαζόμενων ατόμων σε 112.005.
Μια νέα καταχώριση που εμφανίστηκε πιο πρόσφατα στο breach portal του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ, αναφέρει ότι συνολικός αριθμός ανέρχεται στα 4.452.782.
Υπάρχουν 17 πάροχοι υπηρεσιών υγειονομικής περίθαλψης και συστήματα υγείας σε κρατικό επίπεδο που επηρεάστηκαν από την κυβερνοεπίθεση στην HealthEC.
Ορισμένοι σημαντικοί οργανισμοί που αναφέρονται στην ανακοίνωση, περιλαμβάνουν τους Corewell Health, HonorHealth, Beaumont ACO, State of Tennessee – Division of TennCare, το University Medical Center of Princeton Physicians’ Organisation και την Alliance for Integrated Care of New York.
Οι παραβιάσεις δεδομένων που σχετίζονται με την υγεία, μπορούν να έχουν σοβαρές συνέπειες για τους ασθενείς και τους παρόχους υγείας. Για τους ασθενείς, η παραβίαση των δεδομένων τους μπορεί να οδηγήσει σε απώλεια εμπιστοσύνης προς τον πάροχο υγείας, καθώς και σε αυξημένο κίνδυνο για την ιδιωτικότητά τους.
Δείτε επίσης: R00TK1T: Παραβίαση δεδομένων στην Qatar Airways!
Επιπλέον, οι παραβιάσεις δεδομένων μπορούν να οδηγήσουν σε κατάχρηση των προσωπικών και ιατρικών πληροφοριών των ασθενών, όπως η απάτη ασφάλισης ή η κλοπή ταυτότητας. Αυτό μπορεί να έχει σοβαρές οικονομικές και προσωπικές συνέπειες για τους ασθενείς.
Για τους παρόχους υγείας, οι παραβιάσεις δεδομένων μπορούν να οδηγήσουν σε σημαντικές οικονομικές απώλειες λόγω των προστίμων και των δαπανών που σχετίζονται με την αποκατάσταση της παραβίασης.
Επιπλέον, οι παραβιάσεις μπορούν να προκαλέσουν ζημιά στην εικόνα και τη φήμη του παρόχου, που μπορεί να οδηγήσει σε απώλεια πελατών και ασθενών. Αυτό μπορεί να έχει μακροπρόθεσμες συνέπειες για την επιχείρηση τους.
Τέλος, οι παραβιάσεις των δεδομένων υγείας μπορούν να δημιουργήσουν νομικές ευθύνες για τους παρόχους υγείας, καθώς οι ασθενείς μπορούν να ασκήσουν αγωγές για την παραβίαση της ιδιωτικότητάς τους.
Πηγή: www.bleepingcomputer.com
