Wyciekły dane medyczne z dużej amerykańskiej firmy

Cyberatak na Medusind

Medusind to wiodący dostawca usług rozliczeniowych dla organizacji opieki zdrowotnej w USA, który świadczy usługi dla 6 tys. dostawców usług medycznych. Firma poinformowała w oświadczeniu z 8 stycznia br. setki tysięcy osób o naruszeniu ich danych osobowych w wyniku cyberataku z końca 2023 r.

Jak czytamy w dokumencie opublikowanym przez Medusind, 29 grudnia 2023 r. zauważono podejrzaną aktywność w sieci IT. Po wykryciu zagrożenia wyłączono systemy, których to dotyczyło i zatrudniono wiodącą firmę zajmującą się cyberbezpieczeństwem w celu przeprowadzenia dochodzenia.

W wyniku śledztwa znaleziono dowody, iż cyberprzestępcy mogli uzyskać kopię niektórych plików zawierających dane osobowe nawet 360 tys. osób.

Wyciek wrażliwych danych

W wyniku cyberataku wyciekły wrażliwe dane, wśród których znajdują się:

• informacje o ubezpieczeniu zdrowotnym i rozliczeniach (np. numery polis ubezpieczeniowych lub informacje o roszczeniach i świadczeniach);
• informacje dotyczące płatności (numery kart debetowych i kredytowych lub informacje o koncie bankowym);
• informacje zdrowotne (historia medyczna, numery dokumentacji medycznej lub informacje o receptach);
• identyfikacja rządowa (numery ubezpieczenia społecznego, identyfikatory podatników, prawa jazdy lub numery paszportów);
• daty urodzenia;
• adresy e-mail;
• numery telefonów.

Reakcja Medusind

W odpowiedzi na cyberatak firma wdrożyła ulepszone środki bezpieczeństwa, aby zapobiec podobnym incydentom w przyszłości. Dodatkowo zaoferowała swoim klientom dwa lata bezpłatnego monitorowania tożsamości (dla osób powyżej 18. roku życia) przy współpracy z Kroll, liderem w zakresie ograniczania ryzyka i reagowania.

Usługi te obejmują monitorowanie kredytów, konsultacje w zakresie oszustw i przywracanie tożsamości po kradzieży. Osoby, które chcą skorzystać z tej usługi, mogą skontaktować się z firmą Kroll w celu aktywowania bezpłatnego monitorowania tożsamości lub jeśli mają pytania i wątpliwości dotyczące ochrony danych osobowych.

Czym może grozić wyciek medycznych danych osobowych?

Wyciek medycznych danych osobowych może się wiązać z wieloma negatywnymi konsekwencjami. Dane osobowe pacjentów, takie jak imię, nazwisko, adres, numer telefonu czy numer ubezpieczenia zdrowotnego, mogą przede wszystkim zostać wykorzystane do kradzieży tożsamości, w wyniku czego nieuprawniona osoba może wziąć kredyt na nazwisko ofiary.

Wyciek informacji o stanie zdrowia pacjenta, np. o chorobach przewlekłych, infekcjach wirusowych czy chorobach psychicznych może prowadzić do stygmatyzacji w miejscu pracy, wśród znajomych lub rodziny, a także w społeczeństwie. Może też skutkować dyskryminacją, zwłaszcza w kontekście ubezpieczeń zdrowotnych czy zatrudnienia.

Informacje o stanie zdrowia (np. choroby psychiczne, HIV) mogą też zostać wykorzystane do szantażu, zarówno w życiu prywatnym, jak i zawodowym.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].