Η Postmeds, που δραστηριοποιείται ως “Truepill“, έχει αρχίσει να ειδοποιεί τους πελάτες της για μια παραβίαση δεδομένων που επηρεάζει ευαίσθητες προσωπικές τους πληροφορίες.
Η Truepill είναι μια B2B φαρμακευτική πλατφόρμα που χρησιμοποιεί APIs για υπηρεσίες εκπλήρωσης παραγγελιών και παράδοσης για direct-to-consumer (D2C) brands, εταιρείες ψηφιακής υγείας και άλλους οργανισμούς υγειονομικής περίθαλψης στις 50 πολιτείες των ΗΠΑ.
Η πρόσφατη παραβίαση δεδομένων επηρεάζει 2.364.359 άτομα, σύμφωνα με την πύλη παραβίασης του Γραφείου Πολιτικών Δικαιωμάτων του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ.
Δείτε επίσης: Mr. Cooper: Το ίδρυμα αναφέρει ότι δεδομένα πελατών εκτέθηκαν λόγω παραβίασης ασφαλείας
Η επιστολή ειδοποίησης, που στέλνει τώρα η Truepill, ενημερώνει ότι η εταιρεία ανακάλυψε μη εξουσιοδοτημένη πρόσβαση στο δίκτυό της στις 31 Αυγούστου 2023. Η έρευνα αποκάλυψε ότι οι εισβολείς είχαν αποκτήσει πρόσβαση μια μέρα πριν.
Τα δεδομένα που μάλλον εκτέθηκαν, περιλαμβάνουν:
- Πλήρες όνομα
- Τύπος φαρμάκου
- Δημογραφικές πληροφορίες
- Όνομα του ιατρού που έκανε τη συνταγογράφηση
Οι παραπάνω πληροφορίες μπορούν να χρησιμοποιηθούν από hackers για την πραγματοποίηση phishing και social engineering επιθέσεων. Η ειδοποίηση διευκρινίζει ότι οι αριθμοί κοινωνικής ασφάλισης (SSN) δεν περιλαμβάνονταν στο εκτεθειμένο σύνολο δεδομένων.
Αξίζει να σημειωθεί ότι μερικοί από τους ανθρώπους που έλαβαν τις ειδοποιήσεις παραβίασης δεδομένων ήταν κάπως μπερδεμένοι, ισχυριζόμενοι ότι δεν είχαν ακούσει ποτέ για την εταιρεία και δεν ήταν σίγουροι πώς τα δεδομένα τους έφτασαν στην Truepill.
Προβλήματα για την Postmeds
Ο εκτεταμένος αντίκτυπος του συμβάντος μπορεί να οδηγήσει σε νομικές συνέπειες για την Postmeds, καθώς λέγεται ότι προετοιμάζονται πολλαπλές ομαδικές αγωγές σε ολόκληρη τη χώρα. Οι ενάγοντες θα υποστηρίξουν ότι η παραβίαση δεδομένων θα είχε αποτραπεί εάν η Postmeds διατηρούσε καλύτερη στάση ασφαλείας.
Συγκεκριμένα, η Postmeds κατηγορείται ότι δεν κρυπτογραφεί ευαίσθητες πληροφορίες υγειονομικής περίθαλψης, που είναι αποθηκευμένες στους διακομιστές της, κάτι που έκανε πολύ πιο εύκολη τη δουλειά των επιτιθέμενων.
Δείτε επίσης: McLaren Health Care: Η παραβίαση δεδομένων έπληξε 2,2 εκατομμύρια άτομα
Επιπλέον, η καθυστέρηση στην ειδοποίηση των καταναλωτών μπορεί, επίσης, να αποτελεί μέρος των πιθανών αγωγών, καθώς η εταιρεία χρειάστηκε περισσότερους από δύο μήνες για να ενημερώσει τα άτομα που έχουν επηρεαστεί.
Λέγεται ότι, κατά τη διάρκεια αυτής της περιόδου, μερικοί άνθρωποι παρατήρησαν ύποπτη δραστηριότητα στους λογαριασμούς τους Venmo και επιβεβαίωσαν αργότερα ότι τα προσωπικά τους δεδομένα είχαν διαρρεύσει στο dark web.
Επιπλέον, πολλοί άνθρωποι κατηγορούν την Postmeds – Truepill για τον τρόπο που ειδοποιήθηκαν. Η ειδοποίηση δεν δίνει λεπτομέρειες σχετικά με τον τρόπο με τον οποίο οι εισβολείς απέκτησαν πρόσβαση στα συστήματα της εταιρείας. Επιπλέον, δεν παρέχονται συμβουλές για προστασία ούτε προσφέρονται δωρεάν υπηρεσίες προστασίας από κλοπή ταυτότητας, όπως γίνεται συνήθως σε τέτοιες περιπτώσεις.
Τέλος, μία από τις δικηγορικές εταιρείες που έχουν αναλάβει αγωγή κατά της Postmeds, αναφέρει ότι έχουν, επίσης, διαρρεύσει διευθύνσεις, ημερομηνίες γέννησης, πληροφορίες ιατρικής περίθαλψης, πληροφορίες διάγνωσης και πληροφορίες ασφάλισης υγείας. Ωστόσο, οι πληροφορίες αυτές δεν αναφέρονται στην ειδοποίηση της εταιρείας.
Μέτρα για την αποτροπή μιας παραβίασης δεδομένων
Ένας από τους τρόπους για τη μείωση των κινδύνων των παραβιάσεων δεδομένων είναι η ενίσχυση της κυβερνοασφάλειας. Αυτό περιλαμβάνει την εφαρμογή προηγμένων τεχνολογιών ασφαλείας, όπως τα προηγμένα συστήματα ανίχνευσης και πρόληψης διαρροών, την αυτοματοποίηση των διαδικασιών ασφαλείας και την εκπαίδευση του προσωπικού για την αντιμετώπιση και την αντίδραση σε πιθανές παραβιάσεις.
Δείτε επίσης: Kyocera AVX (KAVX): Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Ένας άλλος τρόπος είναι η ενίσχυση της πολιτικής ασφαλείας των επιχειρήσεων και οργανισμών. Αυτό περιλαμβάνει την ανάπτυξη και εφαρμογή αυστηρών πολιτικών ασφαλείας, την παρακολούθηση και αξιολόγηση της συμμόρφωσης με αυτές τις πολιτικές, καθώς και την ανάθεση ευθυνών για την ασφάλεια των δεδομένων σε ειδικευμένους επαγγελματίες.
Επιπλέον, η κρυπτογράφηση των δεδομένων αποτελεί αποτελεσματικό μέσο για την προστασία των πληροφοριών. Η κρυπτογράφηση εξασφαλίζει ότι τα δεδομένα παραμένουν ασφαλή, ακόμα και αν πέσουν σε λάθος χέρια. Η χρήση ισχυρών αλγορίθμων κρυπτογράφησης και η τήρηση βέλτιστων πρακτικών κρυπτογράφησης αποτελούν κρίσιμα στοιχεία για την αποτροπή των παραβιάσεων δεδομένων.
Τέλος, η εκπαίδευση και ευαισθητοποίηση του προσωπικού αποτελεί σημαντικό μέσο για την μείωση των κινδύνων. Οι εργαζόμενοι πρέπει να είναι ενημερωμένοι για τις απειλές και τις βέλτιστες πρακτικές ασφαλείας, καθώς και να εκπαιδεύονται σε θέματα αναγνώρισης και αντίδρασης σε επιθέσεις. Η εκπαίδευση πρέπει να είναι συνεχής.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/493410/postmeds-truepill-parabiasi-dedomenon-epireazei-pano-apo-2-ekatommiria-atoma/&media=https://www.secnews.gr/wp-content/uploads/2023/11/Truepill-2-1.jpg&description=Η Postmeds, που δραστηριοποιείται ως "Truepill", έχει αρχίσει να ειδοποιεί τους πελάτες της για μια παραβίαση δεδομένων που επηρεάζει){kind=link}