Η ομοσπονδιακή υπηρεσία Cents for Medicare & Medicaid Services (CMS) ανακοίνωσε νωρίτερα αυτόν τον μήνα ότι τα στοιχεία υγείας και τα προσωπικά στοιχεία περισσότερων από τριών εκατομμυρίων δικαιούχων προγραμμάτων υγείας, εκτέθηκαν από την παραβίαση δεδομένων της Cl0p ransomware, που διεξήχθη πέρυσι.
Δείτε επίσης: Η Deloitte αρνείται ότι κινδυνεύουν δεδομένα χρηστών μετά την παραβίαση
Οι χάκερ έκλεψαν τα δεδομένα αφού παραβίασαν την εταιρεία ασφάλισης υγείας του Wisconsin Physicians Service (WPS), η οποία παρείχε διοικητικές υπηρεσίες Medicare.
Η CMS είναι μια ομοσπονδιακή υπηρεσία εντός του HHS που διαχειρίζεται τα μεγάλα προγράμματα υγειονομικής περίθαλψης της χώρας, συμπεριλαμβανομένων των Medicaid και CHIP.
Επιβλέπει τα προγράμματα για να διασφαλίσει ότι πληρούν τα ομοσπονδιακά πρότυπα, παρέχει χρηματοδότηση, επιβάλλει πολιτικές και κανονισμούς, παρακολουθεί την ποιότητα και το κόστος και συμβάλλει στη ρύθμιση της αγοράς ασφάλισης υγείας του νόμου για την προσιτή φροντίδα (ACA).
Ένα δελτίο τύπου από την CMS στις 6 Σεπτεμβρίου ενημέρωσε ότι η υπηρεσία και η WPS ειδοποιούσαν 946.801 άτομα με Medicare, σχετικά με πληροφορίες προσωπικής ταυτοποίησης που εκτέθηκαν στις επιθέσεις MOVEit που συνέβησαν πριν από περισσότερο από ένα χρόνο.
Την ίδια ημέρα, η CMS ανέφερε στην πύλη παραβίασης του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HSS) ότι ο πλήρης αριθμός των πελατών που υπέστησαν παραβίαση ήταν 3.112.815 άτομα.
Ένας εκπρόσωπος της CMS εξήγησε ότι η διαφορά αντιπροσώπευε άτομα που είτε έχουν αποβιώσει είτε δεν ήταν δικαιούχοι του Medicare αλλά η WPS είχε συλλέξει τα δεδομένα τους ως μέρος της εργασίας τους για τη CMS.
Δείτε ακόμα: Dell: Ισχυρισμοί για δύο παραβιάσεις δεδομένων σε λίγες ημέρες
Σύμφωνα με το δελτίο τύπου της CMS, η WPS εφάρμοσε τις ενημερώσεις ασφαλείας από το Progress Software, τον προγραμματιστή του MOVEit Transfer, στις αρχές Ιουνίου 2023 και υπέθεσε τότε ότι τα συστήματά της ήταν ασφαλή.
Ωστόσο, μια ανασκόπηση του περιστατικού τον Μάιο του 2024 αποκάλυψε ότι οι χάκερ είχαν παραβιάσει το δίκτυο WPS προτού η εταιρεία εφαρμόσει την ενημερωμένη έκδοση κώδικα ασφαλείας.
Στις 8 Ιουλίου 2024, ενώ ακόμη αξιολογούσε τα κλεμμένα αρχεία της παραβίασης, η CMS διαπίστωσε ότι περιείχαν, μεταξύ άλλων, τις ακόλουθες πληροφορίες:
- Όνομα
- Αριθμός Κοινωνικής Ασφάλισης ή Ατομικός Αριθμός Φορολογικού Μητρώου
- Ημερομηνία γεννήσεως
- Ταχυδρομική διεύθυνση
- Γένος
- Αριθμός Λογαριασμού Νοσοκομείου
- Ημερομηνίες υπηρεσίας
- Αναγνωριστικό δικαιούχου Medicare (MBI) ή/και Αριθμός αξίωσης ασφάλισης υγείας
Καθώς η διερεύνηση του συμβάντος συνεχίζεται, προσφέρεται στα επηρεαζόμενα άτομα μια 12μηνη δωρεάν υπηρεσία παρακολούθησης πιστώσεων από την Experian για τον μετριασμό των κινδύνων που προκύπτουν από την έκθεση των δεδομένων τους.
Παρόλο που η Cl0p ισχυρίστηκε ότι θα διέγραφε δεδομένα που ανήκουν σε νοσοκομεία, οργανισμούς υγειονομικής περίθαλψης και κυβερνητικές οντότητες των ΗΠΑ, είναι πρακτικά αδύνατο να εγγυηθεί ότι τα κλεμμένα δεδομένα δεν έχουν κοινοποιηθεί ή πουληθεί στο Dark Web.
Δείτε επίσης: Κρίσιμες υποδομές: Κινδυνεύουν από παραβιάσεις μέσω email
Μια παραβίαση δεδομένων, όπως αυτή στη CMS, αποτελεί μία σοβαρή απειλή για τις εταιρείες και τους οργανισμούς σε ολόκληρο τον κόσμο. Αυτές οι παραβιάσεις συμβαίνουν όταν εμπιστευτικές πληροφορίες προσβάλλονται από μη εξουσιοδοτημένους χρήστες, οδηγώντας συχνά σε οικονομικές απώλειες, πλήγμα στην φήμη και νομικές συνέπειες για τις επηρεαζόμενες οντότητες. Ειδικά στην εποχή που η εξάρτηση από τις ψηφιακές τεχνολογίες αυξάνεται, η προστασία των δεδομένων καθίσταται πιο κρίσιμη από ποτέ. Η υιοθέτηση ισχυρών μέτρων ασφαλείας, η συνεχής εκπαίδευση του προσωπικού και η εφαρμογή αυστηρών πολιτικών προστασίας της ιδιωτικότητας είναι απαραίτητοι παράγοντες για την ελαχιστοποίηση του κινδύνου παραβίασης δεδομένων.
Πηγή: bleepingcomputer
