Violação de dados no SuperCare Health afetou 300.000 pacientes

Um provedor de serviços de saúde da Califórnia chamado SuperCare Health relatou recentemente uma grande violação de dados que afetou mais de 300.000 pacientes.

A SuperCare publicou um aviso informando sobre a violação de dados em seu site. O kicker neste incidente é que a violação ocorreu em meados de 2021 e foi anunciada apenas recentemente.

A violação aconteceu há mais de seis meses

A empresa tomou conhecimento de atividades não autorizadas em seus servidores em 27 de julho de 2021. Especialistas de segurança externos foram contratados para corrigir o vazamento do banco de dados e investigar. A equipe contratada descobriu que o agente da ameaça que obteve acesso não autorizado aos dados armazenados nos servidores teve acesso a "certos sistemas" na rede do SuperCare entre 23 e 27 de julho - tempo mais do que suficiente para exfiltrar tudo o que era necessário.

É aqui que as coisas ficam muito estranhas. O SuperCare afirma que o "arquivo potencialmente afetado" continha dados confidenciais do paciente apenas no início de fevereiro de 2022. O que levou a ajuda externa contratada e a própria equipe de TI da empresa mais de seis meses para descobrir isso não é muito claro no anúncio.

O que fica muito claro, no entanto, é que as informações que a empresa acredita terem sido acessadas continham uma infinidade de informações confidenciais e de identificação pessoal do paciente. O conjunto de dados inclui nomes de pacientes, endereços, datas de nascimento, números de registros médicos, informações de seguro de saúde, informações de diagnóstico e "outras informações relacionadas à saúde".

Uma porcentagem menor e azarada dos indivíduos afetados pelo vazamento de dados também "podem" ter seus números de previdência social e números de carteira de motorista expostos na violação.

Indivíduos afetados informados no final de março de 2022

Para tornar as coisas ainda mais confusas, o SuperCare levou mais um mês entre a descoberta do vazamento de dados e a data em que informou as partes afetadas. Os indivíduos afetados pela violação de dados foram informados sobre isso apenas algumas semanas atrás, em 25 de março de 2022.

A SuperCare afirmou que não estava ciente de qualquer uso indevido ou manipulação maliciosa das informações afetadas, mas que mais ou menos significa que eles não foram contatados pelo terceiro que acessou as informações e não foram ameaçados de vazamento. Isso ainda não descarta a possibilidade de que o conjunto de dados tenha sido vendido discretamente em um mercado clandestino.

Ao relatar o acidente de vazamento de dados, a SecurityWeek o colocou entre os 50 maiores vazamentos médicos em volume de indivíduos afetados nos últimos dois anos.

April 11, 2022