Naruszenie danych w SuperCare Health dotyczyło 300 000 pacjentów

Dostawca usług opieki zdrowotnej z siedzibą w Kalifornii o nazwie SuperCare Health zgłosił niedawno poważne naruszenie danych, które dotknęło ponad 300 000 pacjentów.

SuperCare opublikował na swojej stronie internetowej powiadomienie o naruszeniu danych. Najważniejszym elementem tego incydentu jest to, że naruszenie miało miejsce w połowie 2021 roku i zostało ogłoszone dopiero niedawno.

Naruszenie wydarzyło się ponad sześć miesięcy temu

Firma dowiedziała się o nieautoryzowanej aktywności na jej serwerach 27 lipca 2021 r. Zatrudniono zewnętrznych ekspertów ds. bezpieczeństwa, aby załatali wyciekającą bazę danych i zbadali ją. Wynajęty zespół dowiedział się, że cyberprzestępca, który uzyskał nieautoryzowany dostęp do danych przechowywanych na serwerach, miał dostęp do „pewnych systemów” w sieci SuperCare między 23 a 27 lipca – to więcej niż wystarczająco dużo czasu, aby wydobyć wszystko, co potrzebne.

Tutaj sprawy stają się bardzo dziwne. SuperCare twierdzi, że „plik potencjalnie dotknięty problemem” zawierał poufne dane pacjentów dopiero na początku lutego 2022 r. To, co zajęło wynajętej pomocy zewnętrznej i własnemu personelowi IT firmy ponad sześć miesięcy, aby to rozgryźć, nie zostało zbyt jasno wyjaśnione w ogłoszeniu.

Jednak bardzo wyraźnie widać, że informacje, które zdaniem firmy zostały udostępnione, zawierały mnóstwo poufnych i umożliwiających identyfikację pacjentów. Zestaw danych obejmuje nazwiska pacjentów, adresy, daty urodzenia, numery dokumentacji medycznej, informacje o ubezpieczeniu zdrowotnym, informacje diagnostyczne i „inne informacje dotyczące zdrowia”.

Pechowo mniejszy odsetek osób dotkniętych wyciekiem danych „może” również mieć swoje numery ubezpieczenia społecznego i prawa jazdy ujawnione podczas naruszenia.

Osoby poszkodowane poinformowane pod koniec marca 2022 r.

Aby sytuacja była jeszcze bardziej zagmatwana, SuperCare zajęło kolejny miesiąc między odkryciem wycieku danych a datą, w której poinformował zainteresowane strony. Osoby dotknięte naruszeniem danych zostały poinformowane o tym zaledwie kilka tygodni temu, 25 marca 2022 roku.

SuperCare stwierdził, że nie byli świadomi jakiegokolwiek niewłaściwego użycia lub złośliwego obchodzenia się z informacją, której dotyczy problem, ale mniej więcej oznacza, że nie skontaktowała się z nimi osoba trzecia, która uzyskała dostęp do informacji i nie była zagrożona wyciekiem. To nadal nie wyklucza możliwości, że zestaw danych został po cichu sprzedany na podziemnym rynku.

Raportując o wypadku wycieku danych, SecurityWeek umieścił go wśród 50 największych wycieków medycznych pod względem liczby dotkniętych osób w ciągu ostatnich kilku lat.

April 11, 2022