Η Sav-Rx προειδοποιεί πάνω από 2,8 εκατομμύρια ανθρώπους στις Ηνωμένες Πολιτείες για μια παραβίαση δεδομένων, που προέκυψε από κυβερνοεπίθεση του 2023.
Η A&A Services, που δραστηριοποιείται ως Sav-RX, είναι μια εταιρεία διαχείρισης παροχών φαρμακείου (PBM) που παρέχει υπηρεσίες σε εργοδότες, συνδικάτα και άλλους οργανισμούς στις Η.Π.Α.
Την Παρασκευή, η Sav-RX ενημέρωσε το γραφείο του Γενικού Εισαγγελέα του Maine για ένα περιστατικό κυβερνοασφάλειας που έλαβε χώρα τον Οκτώβριο του 2023 και οδήγησε σε παραβίαση δεδομένων 2.812.336 ατόμων.
“Στις 8 Οκτωβρίου 2023, εντοπίσαμε μια διακοπή στο δίκτυο υπολογιστών μας. Ως αποτέλεσμα, λάβαμε αμέσως μέτρα για την ασφάλεια των συστημάτων μας και προσλάβαμε τρίτους εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας“, αναφέρεται στην ειδοποίηση που εστάλη σε επηρεαζόμενα άτομα. “Τα συστήματα πληροφορικής μας αποκαταστάθηκαν την επόμενη εργάσιμη ημέρα και οι συνταγές απεστάλησαν έγκαιρα χωρίς καθυστέρηση“.
Δείτε επίσης: Cencora: Παραβίαση δεδομένων επηρεάζει 11 εταιρείες φαρμάκων
Ενώ δεν υπήρχε σημαντικός επιχειρηματικός αντίκτυπος (τα συστήματα αποκαταστάθηκαν σε μια μέρα και δεν υπήρχε καθυστέρηση με τις συνταγές), ανακαλύφθηκε ότι είχαν κλαπεί δεδομένα. Ωστόσο, χρειάστηκε αρκετός χρόνος για την ανακάλυψη της παραβίασης. Συγκεκριμένα, η έρευνα διήρκεσε σχεδόν οκτώ μήνες και ολοκληρώθηκε στις 30 Απριλίου 2024.
Αυτή η έρευνα αποκάλυψε ότι οι hackers είχαν πρόσβαση σε δεδομένα πελατών, για πρώτη φορά, στις 3 Οκτωβρίου 2023.
Σύμφωνα με την Sav-RX, εκτέθηκαν τα εξής στοιχεία στα πλαίσια αυτής της παραβίασης δεδομένων:
- Πλήρες όνομα
- Ημερομηνία γέννησης
- Αριθμός Κοινωνικής Ασφάλισης (SSN)
- Διεύθυνση ηλεκτρονικού ταχυδρομείου
- Φυσική διεύθυνση
- Τηλεφωνικό νούμερο
- Δεδομένα επιλεξιμότητας
- Αριθμός Ταυτότητας Ασφάλισης
Η εταιρεία εξηγεί ότι χρειάστηκαν οκτώ μήνες για την αποστολή ειδοποιήσεων παραβίασης σε πελάτες, επειδή η αρχική της προτεραιότητα ήταν να ελαχιστοποιήσει την πιθανότητα διακοπής στη φροντίδα των ασθενών. Μετά ξεκίνησε η έρευνα για τον αντίκτυπο του συμβάντος.
Επιπλέον, η Sav-Rx λέει ότι δεν βιάστηκε να ολοκληρώσει τις έρευνες, για να είναι σίγουρο ότι έχουν στα χέρια τους όσο το δυνατόν πιο ακριβή αποτελέσματα. Λέει ότι οι πελάτες του προγράμματος υγείας της (επηρεαζόμενοι οργανισμοί) ειδοποιήθηκαν νωρίτερα, μεταξύ 30 Απριλίου και 2 Μαΐου 2024.
Δείτε επίσης: Western Sydney University: Παραβίαση δεδομένων χιλιάδων φοιτητών
Στη συνέχεια, η Sav-Rx κατέληξε σε συμφωνία με τους επιχειρηματικούς πελάτες της για να ειδοποιήσει τα επηρεαζόμενα άτομα και, ως εκ τούτου, οι επιστολές εστάλησαν στα τέλη της περασμένης εβδομάδας.
Η εταιρεία σημειώνει ότι δεν είχε επαρκή στοιχεία επικοινωνίας για να ειδοποιήσει ορισμένα άτομα, επομένως οι άνθρωποι καλούνται να επιβεβαιώσουν εάν επηρεάζονται καλώντας στο 888-326-0815.
Η Sav-Rx έλαβε κάποια μέτρα ασφαλείας μετά το περιστατικό, όπως η δημιουργία ενός κέντρου λειτουργιών ασφαλείας 24/7, η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων σε κρίσιμους λογαριασμούς, η τμηματοποίηση δικτύου, ο ενισχυμένος γεωγραφικός αποκλεισμός, τα αναβαθμισμένα τείχη προστασίας και η ενισχυμένη ασφάλεια Linux και κρυπτογράφηση BitLocker.
Συνέπειες για τα επηρεαζόμενα άτομα
Αυτή η παραβίαση δεδομένων μπορεί να έχει σοβαρές συνέπειες για τους πελάτες της Sav-Rx, καθώς οι προσωπικές τους πληροφορίες, όπως ονόματα, διευθύνσεις, αριθμοί κοινωνικής ασφάλισης έχουν κλαπεί. Αυτό μπορεί να οδηγήσει σε κλοπή ταυτότητας, όπου οι εγκληματίες χρησιμοποιούν τα στοιχεία για να ανοίξουν λογαριασμούς ή να κάνουν αγορές στο όνομα των θυμάτων.
Δείτε επίσης: Η OmniVision αποκάλυψε παραβίαση δεδομένων
Επιπλέον, μια παραβίαση δεδομένων μπορεί να προκαλέσει ψυχολογικό άγχος και ανησυχία στους πελάτες, καθώς η ιδιωτικότητά τους έχει παραβιαστεί και μπορεί να μην γνωρίζουν πώς θα χρησιμοποιηθούν τα δεδομένα τους. Η αίσθηση της ασφάλειας και της εμπιστοσύνης προς την εταιρεία μπορεί να μειωθεί σημαντικά.
Τέλος, οι πελάτες μπορεί να αντιμετωπίσουν και οικονομικές απώλειες λόγω της παραβίασης. Εάν οι εγκληματίες χρησιμοποιήσουν τα κλεμμένα στοιχεία για να πραγματοποιήσουν οικονομικές συναλλαγές, τα θύματα μπορεί να βρεθούν με χρέη ή να χρειαστεί να περάσουν από χρονοβόρες διαδικασίες για να αποδείξουν ότι δεν είναι υπεύθυνοι για τις δαπάνες.
Πηγή: www.bleepingcomputer.com
