Databrud hos SuperCare Health ramte 300.000 patienter

En Californisk-baseret sundhedstjenesteudbyder ved navn SuperCare Health rapporterede for nylig om et større databrud, der berørte over 300.000 patienter.

SuperCare har offentliggjort en meddelelse om databruddet på sin hjemmeside. Kickeren i denne hændelse er, at bruddet fandt sted i midten af 2021 og først blev annonceret for nylig.

Overtrædelse skete for mere end seks måneder siden

Virksomheden blev opmærksom på uautoriseret aktivitet på sine servere den 27. juli 2021. Eksterne sikkerhedseksperter blev hyret til at lappe den utætte database og undersøge. Det lejede team fandt ud af, at trusselsaktøren, der havde fået uautoriseret adgang til de data, der var gemt på serverne, havde adgang til "visse systemer" på SuperCares netværk mellem den 23. juli og den 27. juli - mere end rigelig tid til at eksfiltrere alt det nødvendige.

Det er her, tingene bliver meget mærkelige. SuperCare oplyser, at den "potentielt påvirkede fil" først indeholdt følsomme patientdata i begyndelsen af februar 2022. Hvad det tog den hyrede eksterne hjælp og virksomhedens egne it-medarbejdere mere end seks måneder at finde ud af, fremgår ikke for tydeligt i meddelelsen.

Det, der dog gøres meget klart, er, at de oplysninger, som virksomheden mener blev tilgået, indeholdt et væld af følsomme og personligt identificerbare patientoplysninger. Datasættet omfatter patientnavne, adresser, fødselsdatoer, journalnumre, sygesikringsoplysninger, diagnostiske oplysninger og "andre helbredsrelaterede oplysninger".

En uheldig mindre procentdel af de personer, der er ramt af datalækket, "kan" også have fået deres cpr-numre og kørekortnumre afsløret i bruddet.

Berørte personer informeret i slutningen af marts 2022

For at gøre tingene endnu mere forvirrende tog SuperCare endnu en måned mellem opdagelsen af datalækket og den dato, hvor det informerede de berørte parter. Personer berørt af databruddet blev informeret om det for blot et par uger siden, den 25. marts 2022.

SuperCare oplyste, at de ikke var opmærksomme på noget misbrug eller ondsindet håndtering af den berørte information, men det betyder mere eller mindre, at de ikke er blevet kontaktet af den tredjepart, der har adgang til oplysningerne, og ikke var truet med et læk. Dette udelukker stadig ikke muligheden for, at datasættet stille og roligt blev solgt på en underjordisk markedsplads.

Med rapportering om datalækageulykken placerede SecurityWeek den blandt de 50 største medicinske lækager målt efter volumen af berørte personer i de sidste par år.

April 11, 2022