Μια παραβίαση δεδομένων στην Luxottica, που έλαβε χώρα τον Αύγουστο, φαίνεται ότι έχει εκθέσει και προσωπικές πληροφορίες πελατών-ασθενών των LensCrafters, Target Optical, EyeMed και άλλων.
Η Luxottica, η μεγαλύτερη εταιρεία στον κόσμο στον κλάδο των γυαλιών, με έδρα την Ιταλία, δεν ασχολείται μόνο με την πώληση γυαλιών. Συνεργάζεται και με εταιρείες και με επαγγελματίες φροντίδας της υγείας των ματιών, μέσω των LensCrafters, Target Optical, EyeMed και Pearle Vision.
Αυτοί οι συνεργάτες έχουν πρόσβαση σε μια διαδικτυακή εφαρμογή προγραμματισμού ραντεβού, που επιτρέπει στους ασθενείς να προγραμματίζουν ραντεβού στο διαδίκτυο ή μέσω τηλεφώνου.
Η παραβίαση δεδομένων επηρέασε το σύστημα προγραμματισμού ραντεβού
Η Luxottica εξέδωσε μια ειδοποίηση, η οποία αναφέρει ότι η εφαρμογή προγραμματισμού ραντεβού επηρεάστηκε από την παραβίαση δεδομένων που έλαβε χώρα στις 5 Αυγούστου 2020.
Η ιταλική εταιρεία αντιλήφθηκε την επίθεση στις 9 Αυγούστου και, αφού διερεύνησε την επίθεση, ανακάλυψε (στις 28 Αυγούστου) ότι οι επιτιθέμενοι είχαν αποκτήσει πρόσβαση σε προσωπικά στοιχεία ασθενών.
“Στις 9 Αυγούστου 2020, η Luxottica έμαθε για το περιστατικό και άρχισε αμέσως μια έρευνα για να προσδιορίσει την έκταση του προβλήματος. Στις 28 Αυγούστου 2020, καταλήξαμε προκαταρκτικά στο συμπέρασμα ότι ο εισβολέας μπορεί να έχει αποκτήσει πρόσβαση σε πληροφορίες ασθενών“, ανέφερε στη δήλωσή της η Luxottica.
Οι εκτεθειμένες πληροφορίες περιλαμβάνουν προσωπικά δεδομένα (PII) και πληροφορίες για την υγεία (PHI), συμπεριλαμβανομένων ιατρικών καταστάσεων και ιστορικού.
Συγκεκριμένα, σύμφωνα με τη Luxottica, οι εκτεθειμένες πληροφορίες μπορεί να περιλαμβάνουν: πλήρες όνομα, στοιχεία επικοινωνίας, ημερομηνία και ώρα ραντεβού, αριθμό ασφάλειας και σημειώσεις γιατρού που ενδέχεται να υποδεικνύουν πληροφορίες σχετικά με τη θεραπεία/ φροντίδα ματιών (π.χ. συνταγές φαρμάκων κλπ).
Επίσης, ενδέχεται να έχουν εκτεθεί αριθμοί πιστωτικών καρτών και αριθμοί κοινωνικής ασφάλισης ορισμένων ασθενών.
Σε περίπτωση που έχουν εκτεθεί τέτοια στοιχεία, η Luxottica προσφέρει μια δωρεάν “identity monitoring υπηρεσία” για δύο χρόνια μέσω της Kroll.
Δεν έχουν βρεθεί στοιχεία για κατάχρηση των εκτεθειμένων πληροφοριών, ωστόσο η Luxottica προτρέπει τους ασθενείς να προσέχουν πιθανές ειδοποιήσεις από τους ασφαλιστές υγείας ή τους παρόχους υγειονομικής περίθαλψης και να παρακολουθούν τις πιστωτικές τους κάρτες και τις συναλλαγές τους (για να επιβεβαιώσουν ότι δεν συμβαίνει κάτι περίεργο).
Στις 27 Οκτωβρίου, η Luxottica άρχισε να στέλνει ειδοποιήσεις σε όσους επηρεάζονται. Επίσης, έχει δημοσιεύσει δελτία τύπου σε sites και τοπικές εφημερίδες για να ειδοποιήσει τους ασθενείς για την παραβίαση δεδομένων.
Πρόσφατα έγινε γνωστή και μια άλλη επίθεση στη Luxottica, από τη ransomware συμμορία Nefilim. Η επίθεση έλαβε χώρα στις 18 Σεπτεμβρίου 2020 και προκάλεσε σημαντικές διακοπές λειτουργίας, ενώ οδήγησε και σε κλοπή μη κρυπτογραφημένων αρχείων.
Πηγή: Bleeping Computer