Databrudd hos SuperCare Health berørte 300 000 pasienter

En California-basert helsetjenesteleverandør kalt SuperCare Health rapporterte nylig om et stort datainnbrudd som berørte over 300 000 pasienter.

SuperCare publiserte en melding som informerte om databruddet på sin nettside. Kickeren i denne hendelsen er at bruddet fant sted i midten av 2021 og ble annonsert først nylig.

Bruddet skjedde for mer enn seks måneder siden

Selskapet ble oppmerksom på uautorisert aktivitet på sine servere 27. juli 2021. Eksterne sikkerhetseksperter ble hyret inn for å reparere den lekkende databasen og undersøke. Det innleide teamet fant ut at trusselaktøren som hadde fått uautorisert tilgang til dataene lagret på serverne hadde tilgang til «visse systemer» på SuperCares nettverk mellom 23. juli og 27. juli – mer enn god tid til å eksfiltrere alt som trengs.

Det er her ting blir veldig rart. SuperCare opplyser at den «potensielt påvirkede filen» inneholdt sensitive pasientdata først tidlig i februar 2022. Hva som tok den innleide eksterne hjelpen og selskapets egne IT-medarbeidere mer enn seks måneder å finne ut av dette, kommer ikke så tydelig frem i kunngjøringen.

Det som imidlertid gjøres helt klart er at informasjonen som selskapet mener ble innhentet inneholdt en mengde sensitive og personlig identifiserbare pasientopplysninger. Datasettet inkluderer pasientnavn, adresser, fødselsdato, journalnummer, helseforsikringsinformasjon, diagnostisk informasjon og "annen helserelatert informasjon".

En uheldig mindre prosentandel av personene som er berørt av datalekkasjen «kan» også ha fått personnummer og førerkortnummer avslørt i bruddet.

Berørte personer ble informert i slutten av mars 2022

For å gjøre ting enda mer forvirrende, tok SuperCare ytterligere en måned mellom oppdagelsen av datalekkasjen og datoen den informerte de berørte partene. Personer som ble berørt av databruddet ble informert om det for bare et par uker siden, 25. mars 2022.

SuperCare uttalte at de ikke var klar over noe misbruk eller ondsinnet håndtering av den berørte informasjonen, men at mer eller mindre betyr at de ikke har blitt kontaktet av tredjeparten som fikk tilgang til informasjonen og ikke ble truet med en lekkasje. Dette utelukker fortsatt ikke muligheten for at datasettet i det stille ble solgt på en underjordisk markedsplass.

SecurityWeek rapporterte om datalekkasjeulykken og plasserte den blant de 50 største medisinske lekkasjer etter volum av berørte individer de siste par årene.