Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ “AspenPointe” ενημέρωσε τους ασθενείς του για data breach που προήλθε από μία κυβερνοεπίθεση του Σεπτεμβρίου, με αποτέλεσμα χάκερς να κλέψουν προστατευμένες πληροφορίες για την υγεία (PHI) και προσωπικά αναγνωρίσιμες πληροφορίες (PII). Το AspenPointe είναι ένας μη κερδοσκοπικός οργανισμός που χρηματοδοτείται από πολιτειακές, ομοσπονδιακές και τοπικές αρχές και διαχειρίζεται 12 οργανισμούς που εξυπηρετούν πάνω από 50.000 άτομα και οικογένειες ο καθένας.
Σε ειδοποίηση που στέλνει στους ασθενείς του, το AspenPointe ανέφερε πως ανακάλυψε ότι κάποιος άγνωστος απέκτησε μη εξουσιοδοτημένη πρόσβαση στο δίκτυό του το διάστημα μεταξύ 12 και 22 Σεπτεμβρίου. Επιπλέον, ο οργανισμός προσέλαβε εξωτερικούς εμπειρογνώμονες ασφαλείας για να διερευνήσουν το περιστατικό και να προσδιορίσουν εάν και κατά πόσο παραβιάστηκαν ευαίσθητες προσωπικές πληροφορίες ασθενών.
Ύστερα από έρευνα που ολοκληρώθηκε στις 10 Νοεμβρίου, διαπιστώθηκε ότι ενδέχεται να έχουν παραβιαστεί πληροφορίες ασθενών όπως πλήρη ονόματα, ημερομηνίες γέννησης, αριθμοί κοινωνικής ασφάλισης, αριθμοί ταυτότητας Medicaid, ημερομηνία τελευταίας επίσκεψης, ημερομηνία εισαγωγής, ημερομηνία εξιτηρίου ή και κωδικός διάγνωσης.
Παρόλο που ο μη κερδοσκοπικός οργανισμός ανέφερε ότι δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα δεδομένα που κλάπηκαν κατά τη διάρκεια της επίθεσης χρησιμοποιήθηκαν “ακατάλληλα” από τρίτα μέρη, οι ασθενείς κλήθηκαν να προστατευθούν από πιθανές απόπειρες απάτης. Συγκεκριμένα, κλήθηκαν να τοποθετήσουν ένα “πάγωμα” ασφαλείας ή μια ειδοποίηση απάτης στα αρχεία τους, καθώς και να λάβουν μια δωρεάν αναφορά πίστωσης για να εντοπίσουν τυχόν απόπειρες κακόβουλης χρήσης των πληροφοριών τους.
Επιπλέον, το AspenPointe παρέχει στους ασθενείς που επηρεάζονται από το data breach 12 μήνη πίστωση και παρακολούθηση CyberScan, ένα ασφαλιστήριο συμβόλαιο αποζημίωσης 1.000.000$ και υπηρεσίες ανάκτησης των επηρεαζόμενων πληροφοριών.
Μετά την επίθεση, ο οργανισμός άλλαξε κωδικούς πρόσβασης, εφάρμοσε πρόσθετη προστασία endpoint, αυξημένη παρακολούθηση καθώς και αλλαγές firewall. Ενώ το AspenPointe δεν αποκάλυψε τον ακριβή αριθμό των ασθενών που επλήγησαν σε αυτό το περιστατικό, ο πάροχος υγειονομικής περίθαλψης ανέφερε το data breach στο Υπουργείο Υγείας και Ανθρώπινης Υπηρεσίας των ΗΠΑ (HHS) στις 19 Νοεμβρίου. Σύμφωνα με την αναφορά που κατατέθηκε στο HHS, κλάπηκαν PHI και PII 295.617 ασθενών του AspenPointe.
