Παραβίαση δεδομένων σε SuperCare Health επηρέασε 300.000 ασθενείς

Ένας πάροχος υπηρεσιών υγειονομικής περίθαλψης με έδρα την Καλιφόρνια που ονομάζεται SuperCare Health ανέφερε πρόσφατα μια σημαντική παραβίαση δεδομένων που επηρέασε περισσότερους από 300.000 ασθενείς.

Η SuperCare δημοσίευσε μια ειδοποίηση που ενημερώνει για την παραβίαση δεδομένων στον ιστότοπό της. Το βασικό σε αυτό το περιστατικό είναι ότι η παραβίαση έλαβε χώρα στα μέσα του 2021 και ανακοινώθηκε μόλις πρόσφατα.

Η παραβίαση συνέβη πριν από περισσότερους από έξι μήνες

Η εταιρεία ενημερώθηκε για μη εξουσιοδοτημένη δραστηριότητα στους διακομιστές της στις 27 Ιουλίου 2021. Προσλήφθηκαν εξωτερικοί εμπειρογνώμονες ασφάλειας για να διορθώσουν τη βάση δεδομένων που διαρρέει και να διερευνήσουν. Η προσληφθείσα ομάδα ανακάλυψε ότι ο παράγοντας της απειλής που είχε αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα δεδομένα που ήταν αποθηκευμένα στους διακομιστές είχε πρόσβαση σε "ορισμένα συστήματα" στο δίκτυο της SuperCare μεταξύ 23 Ιουλίου και 27 Ιουλίου - περισσότερο από άφθονο χρόνο για να εκμεταλλευτεί ό,τι χρειαζόταν.

Εδώ είναι που τα πράγματα γίνονται πολύ περίεργα. Η SuperCare δηλώνει ότι το "πιθανώς επηρεασμένο αρχείο" περιείχε ευαίσθητα δεδομένα ασθενών μόνο στις αρχές Φεβρουαρίου 2022. Τι χρειάστηκε η προσληφθείσα εξωτερική βοήθεια και το προσωπικό πληροφορικής της εταιρείας περισσότερο από έξι μήνες για να το καταλάβουν αυτό δεν γίνεται πολύ σαφές στην ανακοίνωση.

Αυτό που γίνεται πολύ σαφές, ωστόσο, είναι ότι οι πληροφορίες στις οποίες η εταιρεία πιστεύει ότι είχε πρόσβαση περιείχαν πληθώρα ευαίσθητων και προσωπικά αναγνωρίσιμων πληροφοριών ασθενών. Το σύνολο δεδομένων περιλαμβάνει ονόματα ασθενών, διευθύνσεις, ημερομηνίες γέννησης, αριθμούς ιατρικού μητρώου, πληροφορίες ασφάλισης υγείας, διαγνωστικές πληροφορίες και «άλλες πληροφορίες που σχετίζονται με την υγεία».

Ένα άτυχο μικρότερο ποσοστό των ατόμων που επηρεάστηκαν από τη διαρροή δεδομένων «μπορεί» επίσης να είχαν εκτεθεί στην παραβίαση τους αριθμούς κοινωνικής ασφάλισης και τους αριθμούς άδειας οδήγησης.

Τα επηρεαζόμενα άτομα ενημερώθηκαν στα τέλη Μαρτίου 2022

Για να γίνουν τα πράγματα ακόμα πιο μπερδεμένα, η SuperCare χρειάστηκε άλλον έναν μήνα μεταξύ της ανακάλυψης της διαρροής δεδομένων και της ημερομηνίας κατά την οποία ενημέρωσε τα ενδιαφερόμενα μέρη. Τα άτομα που επηρεάστηκαν από την παραβίαση δεδομένων ενημερώθηκαν σχετικά πριν από μερικές εβδομάδες, στις 25 Μαρτίου 2022.

Η SuperCare δήλωσε ότι δεν γνώριζε καμία κακή χρήση ή κακόβουλο χειρισμό των επηρεαζόμενων πληροφοριών, αλλά ότι λίγο πολύ σημαίνει ότι δεν έχει επικοινωνήσει μαζί τους το τρίτο μέρος που είχε πρόσβαση στις πληροφορίες και δεν απειλήθηκε με διαρροή. Αυτό εξακολουθεί να μην αποκλείει την πιθανότητα το σύνολο δεδομένων να πωλήθηκε αθόρυβα σε μια υπόγεια αγορά.

Αναφέροντας το ατύχημα με τη διαρροή δεδομένων, το SecurityWeek το κατέταξε μεταξύ των κορυφαίων 50 μεγαλύτερων ιατρικών διαρροών κατ' όγκο προσβεβλημένων ατόμων τα τελευταία δύο χρόνια.

April 11, 2022