La violación de datos en SuperCare Health afectó a 300,000 pacientes

Un proveedor de servicios de atención médica con sede en California llamado SuperCare Health informó recientemente una importante violación de datos que afectó a más de 300,000 pacientes.

SuperCare publicó un aviso informando sobre la violación de datos en su sitio web. El truco de este incidente es que la infracción tuvo lugar a mediados de 2021 y se anunció recientemente.

La filtración ocurrió hace más de seis meses

La empresa se dio cuenta de la actividad no autorizada en sus servidores el 27 de julio de 2021. Se contrataron expertos en seguridad externos para reparar la base de datos filtrada e investigar. El equipo contratado descubrió que el actor de amenazas que había obtenido acceso no autorizado a los datos almacenados en los servidores tenía acceso a "ciertos sistemas" en la red de SuperCare entre el 23 y el 27 de julio, tiempo más que suficiente para exfiltrar todo lo necesario.

Aquí es donde las cosas se ponen muy extrañas. SuperCare afirma que el "archivo potencialmente afectado" contenía datos confidenciales del paciente solo a principios de febrero de 2022. Lo que tomó a la ayuda externa contratada y al propio personal de TI de la compañía más de seis meses para resolver esto no está muy claro en el anuncio.

Sin embargo, lo que queda muy claro es que la información a la que la compañía cree que se accedió contenía una plétora de información confidencial y de identificación personal del paciente. El conjunto de datos incluye nombres de pacientes, direcciones, fechas de nacimiento, números de registros médicos, información del seguro médico, información de diagnóstico y "otra información relacionada con la salud".

Un desafortunado porcentaje más pequeño de las personas afectadas por la fuga de datos también "pueden" haber tenido sus números de seguro social y números de licencia de conducir expuestos en la filtración.

Individuos afectados informados a fines de marzo de 2022

Para hacer las cosas aún más confusas, SuperCare tardó otro mes entre el descubrimiento de la fuga de datos y la fecha en que informó a las partes afectadas. Las personas afectadas por la violación de datos fueron informadas al respecto hace solo un par de semanas, el 25 de marzo de 2022.

SuperCare declaró que no estaban al tanto de ningún uso indebido o manejo malicioso de la información afectada, pero eso más o menos significa que el tercero que accedió a la información no los contactó y no se vieron amenazados con una filtración. Esto aún no descarta la posibilidad de que el conjunto de datos se vendiera discretamente en un mercado clandestino.

Al informar sobre el accidente de fuga de datos, SecurityWeek lo colocó entre las 50 fugas médicas más grandes por volumen de personas afectadas en los últimos dos años.

April 11, 2022