Datenpanne bei SuperCare Health betrifft 300.000 Patienten

Ein in Kalifornien ansässiger Gesundheitsdienstleister namens SuperCare Health meldete kürzlich eine schwerwiegende Datenschutzverletzung, von der über 300.000 Patienten betroffen waren.

SuperCare hat auf seiner Website eine Mitteilung über die Datenschutzverletzung veröffentlicht. Das Besondere an diesem Vorfall ist, dass der Verstoß Mitte 2021 stattfand und erst kürzlich bekannt gegeben wurde.

Der Verstoß ist vor mehr als sechs Monaten aufgetreten

Das Unternehmen wurde am 27. Juli 2021 auf unbefugte Aktivitäten auf seinen Servern aufmerksam. Externe Sicherheitsexperten wurden beauftragt, die undichte Datenbank zu reparieren und zu untersuchen. Das beauftragte Team fand heraus, dass der Angreifer, der sich unbefugten Zugriff auf die auf den Servern gespeicherten Daten verschafft hatte, zwischen dem 23. und 27. Juli Zugriff auf „bestimmte Systeme“ im Netzwerk von SuperCare hatte – mehr als ausreichend Zeit, um alles Erforderliche herauszufiltern.

Hier werden die Dinge sehr seltsam. SuperCare gibt an, dass die „potenziell betroffene Datei“ erst Anfang Februar 2022 sensible Patientendaten enthielt. Was die engagierte externe Hilfe und die unternehmenseigenen IT-Mitarbeiter mehr als sechs Monate brauchten, um dies herauszufinden, wird in der Ankündigung nicht allzu deutlich gemacht.

Was jedoch sehr deutlich gemacht wird, ist, dass die Informationen, von denen das Unternehmen glaubt, dass sie abgerufen wurden, eine Fülle von sensiblen und persönlich identifizierbaren Patienteninformationen enthielten. Der Datensatz umfasst Patientennamen, Adressen, Geburtsdaten, Krankenaktennummern, Krankenversicherungsinformationen, diagnostische Informationen und "andere gesundheitsbezogene Informationen".

Ein unglücklicher kleinerer Prozentsatz der von dem Datenleck betroffenen Personen „möglicht“ auch, dass ihre Sozialversicherungsnummern und Führerscheinnummern bei der Verletzung offengelegt wurden.

Betroffene Personen Ende März 2022 informiert

Um die Sache noch verwirrender zu machen, brauchte SuperCare einen weiteren Monat zwischen der Entdeckung des Datenlecks und dem Datum, an dem es die betroffenen Parteien informierte. Die von der Datenschutzverletzung betroffenen Personen wurden erst vor wenigen Wochen, am 25. März 2022, darüber informiert.

SuperCare gab an, dass ihnen kein Missbrauch oder böswilliger Umgang mit den betroffenen Informationen bekannt war, dies bedeutet jedoch mehr oder weniger, dass sie nicht von dem Dritten kontaktiert wurden, der auf die Informationen zugegriffen hat, und ihnen wurde nicht mit einem Leck gedroht. Dies schließt immer noch nicht aus, dass der Datensatz stillschweigend auf einem Untergrundmarkt verkauft wurde.

SecurityWeek berichtete über den Datenleck-Unfall und platzierte ihn in den letzten Jahren unter den 50 größten medizinischen Lecks nach Volumen der betroffenen Personen.