„SuperCare Health“ duomenų pažeidimas paveikė 300 000 pacientų

Kalifornijoje įsikūręs sveikatos priežiūros paslaugų teikėjas „SuperCare Health“ neseniai pranešė apie didelį duomenų pažeidimą, kuris paveikė daugiau nei 300 000 pacientų.

„SuperCare“ savo svetainėje paskelbė pranešimą apie duomenų saugumo pažeidimą. Šio incidento priežastis yra ta, kad pažeidimas įvyko 2021 m. viduryje ir buvo paskelbtas visai neseniai.

Pažeidimas įvyko daugiau nei prieš šešis mėnesius

Apie neteisėtą veiklą savo serveriuose bendrovė sužinojo 2021 m. liepos 27 d. Išoriniai saugumo ekspertai buvo pasamdyti pataisyti nutekėjusią duomenų bazę ir ištirti. Pasamdyta komanda išsiaiškino, kad grėsmės veikėjas, gavęs neteisėtą prieigą prie serveriuose saugomų duomenų, liepos 23–27 dienomis turėjo prieigą prie „tam tikrų sistemų“ SuperCare tinkle – daugiau nei pakankamai laiko išfiltruoti viską, ko reikia.

Čia viskas tampa labai keista. „SuperCare“ teigia, kad „galimai paveiktame faile“ jautrūs pacientų duomenys buvo pateikti tik 2022 m. vasario pradžioje. Skelbime nėra per daug aiškiai nurodyta, kam samdomai išorės pagalbai ir pačios įmonės IT darbuotojams prireikė daugiau nei šešių mėnesių, kad tai išsiaiškintų.

Tačiau labai aišku, kad informacija, kuri, bendrovės manymu, buvo prieinama, turi daugybę jautrios ir asmenį identifikuojančios informacijos apie pacientą. Duomenų rinkinyje yra pacientų vardai, vardai, adresai, gimimo datos, medicininių įrašų numeriai, sveikatos draudimo informacija, diagnostinė informacija ir „kita su sveikata susijusi informacija“.

Nelaiminga, mažesnė dalis asmenų, nukentėjusių nuo duomenų nutekėjimo, taip pat „galėjo“ turėti socialinio draudimo ir vairuotojo pažymėjimo numerius.

Paveikti asmenys informuoti 2022 m. kovo pabaigoje

Kad viskas būtų dar painesnė, „SuperCare“ užtruko dar vieną mėnesį nuo duomenų nutekėjimo aptikimo iki datos, kurią ji informavo paveiktas šalis. Asmenys, nukentėję nuo duomenų saugumo pažeidimo, apie jį buvo informuoti vos prieš porą savaičių, 2022 m. kovo 25 d.

„SuperCare“ teigė, kad jie nežinojo apie jokį netinkamą paveiktos informacijos naudojimą ar piktavališką tvarkymą, tačiau daugiau ar mažiau reiškia, kad su jais nesusisiekė trečioji šalis, kuri pasiekė informaciją, ir jiems negresia nutekėjimas. Tai vis dar neatmeta galimybės, kad duomenų rinkinys buvo tyliai parduotas požeminėje prekyvietėje.

Pranešdama apie duomenų nutekėjimo avariją, „SecurityWeek“ įtraukė ją į 50 didžiausių medicininių nutekėjimų pagal nukentėjusių asmenų skaičių per pastaruosius porą metų.