Gegevensinbreuk bij SuperCare Health trof 300.000 patiënten

Een in Californië gevestigde zorgaanbieder genaamd SuperCare Health meldde onlangs een groot datalek waarbij meer dan 300.000 patiënten werden getroffen.

SuperCare heeft een bericht over het datalek op haar website gepubliceerd. De kicker in dit incident is dat de inbreuk medio 2021 plaatsvond en pas onlangs werd aangekondigd.

Inbreuk heeft meer dan zes maanden geleden plaatsgevonden

Het bedrijf werd op 27 juli 2021 op de hoogte van ongeautoriseerde activiteit op zijn servers. Er werden externe beveiligingsexperts ingehuurd om de lekkende database op te lappen en te onderzoeken. Het ingehuurde team ontdekte dat de dreigingsactor die ongeoorloofde toegang had gekregen tot de gegevens die op de servers waren opgeslagen, tussen 23 en 27 juli toegang had tot 'bepaalde systemen' op het netwerk van SuperCare - meer dan voldoende tijd om alles te exfiltreren wat nodig was.

Dit is waar de dingen heel vreemd worden. SuperCare stelt dat het "potentieel getroffen bestand" pas begin februari 2022 gevoelige patiëntgegevens bevatte. Wat de ingehuurde externe hulp en het eigen IT-personeel meer dan zes maanden kostte om dit te achterhalen, wordt niet al te duidelijk gemaakt in de aankondiging.

Wat echter heel duidelijk wordt gemaakt, is dat de informatie waarvan het bedrijf denkt dat deze is ingezien, een overvloed aan gevoelige en persoonlijk identificeerbare patiëntinformatie bevatte. De dataset omvat namen van patiënten, adressen, geboortedata, medische dossiernummers, ziektekostenverzekeringsinformatie, diagnostische informatie en "andere gezondheidsgerelateerde informatie".

Een ongelukkig kleiner percentage van de personen die door het datalek zijn getroffen, "kunnen" ook hun burgerservicenummers en rijbewijsnummers hebben blootgelegd in de inbreuk.

Getroffen personen eind maart 2022 geïnformeerd

Om het nog verwarrender te maken, heeft SuperCare nog een maand geduurd tussen de ontdekking van het datalek en de datum waarop het de betrokken partijen op de hoogte bracht. Personen die getroffen zijn door het datalek werden slechts een paar weken geleden, op 25 maart 2022, geïnformeerd.

SuperCare verklaarde dat ze niet op de hoogte waren van enig misbruik of kwaadwillige behandeling van de getroffen informatie, maar dat dit min of meer betekent dat er geen contact met hen is opgenomen door de derde partij die toegang had tot de informatie en dat ze niet werden bedreigd met een lek. Dit sluit nog steeds niet uit dat de dataset stilletjes op een ondergrondse marktplaats is verkocht.

SecurityWeek rapporteerde over het datalekongeval en plaatste het de afgelopen jaren in de top 50 van grootste medische lekken op basis van het aantal getroffen personen.

April 11, 2022