Um hack da UnitedHealth expôs informações pessoais e dados de saúde de mais de 100 milhões de americanos – a primeira vez que a empresa atribui um número específico à violação de segurança.
Um ataque de ransomware foi feito à Change Healthcare em fevereiro, mas foi apenas ontem que a empresa revelou sua “magnitude sem precedentes”…
Hack da UnitedHealth
Computador bipando relata que a revelação foi lenta.
A UnitedHealth confirmou pela primeira vez que mais de 100 milhões de pessoas tiveram suas informações pessoais e dados de saúde roubados no ataque de ransomware Change Healthcare, marcando esta como a maior violação de dados de saúde nos últimos anos.
Em maio, o CEO da UnitedHealth, Andrew Witty, alertou durante uma audiência no Congresso que “talvez um terço” de todos os dados de saúde dos americanos foram expostos no ataque.
Um mês depois, a Change Healthcare publicou uma notificação de violação de dados alertando que o ataque de ransomware de fevereiro à Change Healthcare expôs uma “quantidade substancial de dados” para uma “proporção substancial de pessoas na América”.
Hoje, o portal de violação de dados do Departamento de Saúde e Serviços Humanos dos EUA para Direitos Civis atualizou o número total de pessoas afetadas para 100 milhões, tornando-se a primeira vez que a UnitedHealth, empresa-mãe da Change Healthcare, atribui um número oficial à violação.
A sensibilidade da informação comprometida foi tão preocupante quanto a escala:
- Informações sobre seguros de saúde (tais como planos/apólices de saúde primários, secundários ou outros, companhias de seguros, números de identificação de membros/grupos e números de identificação de pagadores do Medicaid-Medicare-governo);
- Informações de saúde (como números de registros médicos, provedores, diagnósticos, medicamentos, resultados de exames, imagens, cuidados e tratamento);
- Informações de cobrança, reclamações e pagamentos (como números de reclamações, números de contas, códigos de cobrança, cartões de pagamento, informações financeiras e bancárias, pagamentos efetuados e saldo devido); e/ou
- Outras informações pessoais, como Números de segurança social, carteiras de motorista ou números de identificação estaduais ou números de passaporte.
Os dados reais expostos podem variar de indivíduo para indivíduo.
Inacreditavelmente, o ataque foi possível usando credenciais roubadas porque o serviço de acesso remoto Citrix da empresa não tinha a autenticação de dois fatores habilitada.
Enormes 6 TB de dados foram extraídos antes que os computadores da empresa fossem criptografados, causando o caos tanto para médicos quanto para pacientes. A empresa admitiu ter pago um resgate pela chave de descriptografia, supostamente entregando mais de US$ 22 milhões.
Para piorar a situação, o ataque foi realizado por um “afiliado” do grupo do crime organizado BlackCat, e o grupo supostamente enganou o afiliado ao ficar com 100% do dinheiro do resgate. A afiliada exigiu então um novo resgate em troca de não tornar os dados públicos, e há evidências que sugerem que a UnitedHealth também pagou este segundo resgate.
Foto de Instituto Nacional do Câncer sobre Remover respingo
FTC: Usamos links de afiliados automotivos para geração de renda. Mais.
