La violazione dei dati presso SuperCare Health ha colpito 300.000 pazienti
Un fornitore di servizi sanitari con sede in California chiamato SuperCare Health ha recentemente segnalato una grave violazione dei dati che ha colpito oltre 300.000 pazienti.
SuperCare ha pubblicato un avviso di violazione dei dati sul proprio sito web. Il kicker di questo incidente è che la violazione è avvenuta a metà del 2021 ed è stata annunciata solo di recente.
La violazione è avvenuta più di sei mesi fa
La società è venuta a conoscenza di attività non autorizzate sui suoi server il 27 luglio 2021. Esperti di sicurezza esterni sono stati assunti per riparare il database che perdeva e indagare. Il team assunto ha scoperto che l'attore delle minacce che aveva ottenuto l'accesso non autorizzato ai dati archiviati sui server ha avuto accesso a "certi sistemi" sulla rete di SuperCare tra il 23 e il 27 luglio, un tempo più che sufficiente per esfiltrare tutto il necessario.
È qui che le cose si fanno molto strane. SuperCare afferma che il "file potenzialmente interessato" conteneva dati sensibili dei pazienti solo all'inizio di febbraio 2022. Ciò che l'aiuto esterno assunto e il personale IT dell'azienda hanno impiegato più di sei mesi per capirlo non è chiarito nell'annuncio.
Ciò che viene chiarito, tuttavia, è che le informazioni a cui la società ritiene abbia avuto accesso contenevano una pletora di informazioni sui pazienti sensibili e di identificazione personale. Il set di dati include nomi dei pazienti, indirizzi, date di nascita, numeri di cartelle cliniche, informazioni sull'assicurazione sanitaria, informazioni diagnostiche e "altre informazioni relative alla salute".
Anche una sfortunata percentuale più piccola delle persone interessate dalla fuga di dati "potrebbe" aver avuto il proprio numero di previdenza sociale e numero di patente di guida esposti nella violazione.
Le persone interessate sono state informate a fine marzo 2022
Per rendere le cose ancora più confuse, SuperCare ha impiegato un altro mese tra la scoperta della fuga di dati e la data in cui ha informato le parti interessate. Le persone interessate dalla violazione dei dati ne sono state informate solo un paio di settimane fa, il 25 marzo 2022.
SuperCare ha dichiarato di non essere a conoscenza di alcun uso improprio o gestione dannosa delle informazioni interessate, ma che più o meno significa che non sono stati contattati dalla terza parte che ha avuto accesso alle informazioni e non sono stati minacciati di una fuga di notizie. Ciò non esclude ancora la possibilità che il set di dati sia stato venduto tranquillamente in un mercato sotterraneo.
Segnalando l'incidente di fuga di dati, SecurityWeek lo ha inserito tra le prime 50 maggiori perdite mediche per volume di persone colpite negli ultimi due anni.
