A SuperCare Health adatszivárgása 300 000 beteget érintett
A kaliforniai székhelyű SuperCare Health egészségügyi szolgáltató a közelmúltban jelentős adatszivárgásról számolt be, amely több mint 300 000 beteget érintett.
A SuperCare az adatvédelmi incidensről tájékoztatást tett közzé honlapján. Az incidens hátterében az áll, hogy a jogsértés 2021 közepén történt, és csak nemrégiben jelentették be.
A jogsértés több mint hat hónapja történt
A cég 2021. július 27-én szerzett tudomást a szerverein végzett jogosulatlan tevékenységről. Külső biztonsági szakértőket bíztak meg a kiszivárgó adatbázis befoltozásával és a kivizsgálással. A felbérelt csapat kiderítette, hogy a szervereken tárolt adatokhoz jogosulatlanul hozzáférő fenyegetés szereplője július 23. és július 27. között hozzáfért a SuperCare hálózatának „bizonyos rendszereihez” – így több mint bőven volt ideje, hogy mindent kiszűrjen.
Itt a dolgok nagyon furcsák lesznek. A SuperCare azt állítja, hogy a "potenciálisan érintett fájl" csak 2022 februárjának elején tartalmazott érzékeny páciensadatokat. A közleményből nem derül ki egyértelműen, hogy a felkért külső segítségnek és a cég saját informatikai személyzetének mi kellett ehhez több mint hat hónapig.
Amit azonban nagyon világossá tettek, az az, hogy az információ, amelyről a vállalat úgy véli, hogy hozzáfértek, rengeteg érzékeny és személyazonosításra alkalmas beteginformációt tartalmazott. Az adatkészlet tartalmazza a betegek nevét, címét, születési dátumát, orvosi nyilvántartási számát, egészségbiztosítási információkat, diagnosztikai információkat és „egyéb egészséggel kapcsolatos információkat”.
Az adatszivárgás által érintett személyek szerencsétlenül kisebb százalékának "lehet" nyilvánosságra hozni a társadalombiztosítási számát és a jogosítvány számát is.
Az érintett személyeket 2022. március végén értesítették
Hogy a dolgok még zavarosabbak legyenek, a SuperCare-nek még egy hónap telt el az adatszivárgás felfedezése és az érintett felek tájékoztatása között. Az adatvédelmi incidens által érintett személyeket alig néhány hete, 2022. március 25-én értesítették.
A SuperCare kijelentette, hogy nem tudtak visszaélésről vagy rosszindulatú kezelésről az érintett információkkal, de ez többé-kevésbé azt jelenti, hogy az információhoz hozzáférő harmadik fél nem vette fel velük a kapcsolatot, és nem fenyegette őket kiszivárogtatás. Ez még mindig nem zárja ki annak lehetőségét, hogy az adatkészletet csendesen eladták egy földalatti piacon.
Az adatszivárgási balesetről beszámolva a SecurityWeek az érintett személyek mennyiségét tekintve az 50 legnagyobb egészségügyi kiszivárogtatás közé sorolta az elmúlt néhány évben.
