Únik dat ConnectOnCall: ohroženo více než 910 000 pacientů

V posledních měsících se bohužel stále častěji setkáváme s alarmujícími úniky dat, přičemž ty, které se týkají zdravotnictví, jsou obzvláště nebezpečné z důvodu potenciálně celoživotních následků pro postižené pacienty. Nedávno jsme informovali o úniku dat z cévního centra, který zasáhl téměř půl milionu lidí. Nyní se objevil další rozsáhlý únik dat ze zdravotnického prostředí, tentokrát s ještě větším počtem obětí.

Únik osobních a zdravotních údajů více než 910 000 pacientů postihl platformu ConnectOnCall, telezdravotnickou platformu a službu pro komunikaci mimo pracovní dobu, vlastněnou společností Phreesia.

Poskytovatel zdravotnického softwaru Phreesia, který ConnectOnCall koupil v říjnu 2023, odhalil, že k narušení zabezpečení jeho služby došlo mezi 16. únorem a 12. květnem 2024. Během této doby se neznámému útočníkovi podařilo získat přístup k platformě a stáhnout data z komunikace mezi poskytovateli zdravotní péče a pacienty. ConnectOnCall pomáhá zdravotnickým pracovníkům zvládat komunikaci mimo pracovní dobu a automatizovat sledování hovorů s pacienty.

Phreesia objevila narušení 12. května a okamžitě začala jednat. Společnost přizvala externí odborníky na kybernetickou bezpečnost, aby zabezpečili platformu a nahlásili únik federálním orgánům činným v trestním řízení. Jak společnost uvedla v tiskové zprávě: „12. května 2024 se ConnectOnCall dozvěděl o problému ovlivňujícím ConnectOnCall a okamžitě zahájil vyšetřování a přijal kroky k zabezpečení produktu a zajištění celkové bezpečnosti svého prostředí.“

Podle zprávy podané na Ministerstvo zdravotnictví a sociálních služeb USA byl únik dat ovlivněn 914 138 pacientů (prostřednictvím Bleeping Computer). Ukradnutá data zahrnují jména, telefonní čísla, čísla zdravotních záznamů, data narození a podrobnosti o zdravotním stavu, léčbě nebo předpisech. V několika případech byla kompromitována také rodná čísla.

Phreesia tvrdí, že její ostatní služby, jako je platforma pro příjem pacientů, nebyly ovlivněny. Společnost od té doby ConnectOnCall odpojila a pracuje na jeho opětovném uvedení do provozu s vylepšeným zabezpečením.

Vzhledem k citlivé povaze zdravotnických údajů jsou důsledky tohoto narušení zabezpečení značné. Na rozdíl od finančních narušení, kde lze kompromitované účty zmrazit nebo nahradit, jsou zdravotnické informace trvalé a na temném webu velmi žádané. Kyberkriminálníci mohou tato data zneužít k páchání krádeží identity, včetně neoprávněného získávání léků na předpis nebo podávání falešných pojistných nároků.

Podrobné zdravotní informace, jako jsou diagnózy, léčby a léky, mohou být použity pro cílené phishingové útoky. Podvodníci by mohli zneužít anamnézu obětí k vytvoření vysoce přesvědčivých schémat, čímž se zvýší pravděpodobnost úspěchu.

Phreesia odeslala oznámení všem postiženým osobám, pro které měli poskytovatelé zdravotní péče platné poštovní adresy k 11. prosinci 2024. Pro ty, jejichž rodná čísla byla zkompromitována, společnost nabízí služby monitorování identity a úvěru.

Doporučení pro ochranu:

1. Pravidelně kontrolujte své finanční a zdravotní účty.

2. Používejte silná hesla a dvoufázové ověřování (2FA).

3. Nepropadněte phishingovým podvodům a používejte silný antivirový software.

4. Používejte služby ochrany před krádeží identity.

5. Zmrazte si úvěrové zprávy.

6. Odstraňte své osobní údaje z internetu.

Únik dat ConnectOnCall zdůrazňuje naléhavou potřebu robustních opatření v oblasti kybernetické bezpečnosti ve zdravotnictví, kde jsou v sázce často mnohem vyšší než v jiných odvětvích. S více než 910 000 postiženými pacienty tento incident ukazuje vážná rizika kyberútoků na zdravotnické platformy. Citlivá data, jako jsou lékařské záznamy a rodná čísla, jsou trvalá a mohou být zneužita ke krádeži identity a podvodům. Pokud jste byli zasaženi, buďte ostražití, sledujte své účty, aktivujte upozornění na podvody a zvažte služby ochrany před krádeží identity.