Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Тройной удар: как медицинские лаборатории потеряли данные 20 млн пациентов
Одними из самых обсуждаемых утечек в начале лета стал инцидент в Американском медицинском агентстве по сбору платежей (AMCA). Аналитический центр InfoWatch рассказывает, как в результате проблем с безопасностью на стороне партнера пострадали три диагностические компании и миллионы их пациентов.
В период с августа 2018 г. по март 2019 г. неизвестные злоумышленники взломали серверы AMCA, на которых хранились персональные данные и платежная информация ее клиентов из числа крупных лабораторных и диагностических компаний. К настоящему времени известно о трех пострадавших компаниях – Quest Diagnostics, LabCorp и Opko Health.
Компания Quest Diagnostics, одна из крупнейших американских лабораторий по анализам крови, 3 июня сообщила, что из AMCA похищены данные около 11,9 млн пациентов. Помимо платежных данных (номера банковских карт и сведения о счетах), в руках хакеров оказалась медицинская информация и некоторые персональные данные (например, номера социального страхования). Услуги по обработке счетов AMCA предоставляла для Quest Diagnostics через компанию Optum360.
На следующий день о крупной утечке клиентских данных уведомила компания LabCorp. Она утверждает, что в результате взлома систем AMCA пострадали примерно 7,7 млн человек. Информация, которая могла быть украдена, включает имена, адреса, даты рождения и данные о балансе счетов. Примерно у 200 тыс. пацииентов также скомпрометированы номера карт и банковских счетов.
В четверг, 6 июня, о своих проблемах сообщила компания Opko Health. По ее информации, атака на серверы медицинских коллекторов привела к потере данных более 422 тыс. пациентов. Помимо номеров карт и счетов, злоумышленники могли завладеть такими персональными данными, как адреса электронной почты, домашние адреса, номера телефонов.
Все три компании приостановили сотрудничество с AMCA, перевели обработку платежей за медицинские услуги на других подрядчиков и наняли независимые агентства по расследованию киберпреступлений. Кроме того, диагностические фирмы уже активно сотрудничают с правоохранительными органами.
«Каждый человек, доверяя персональные данные той или иной компании, должен осознавать, что часть этих сведений вполне легально может оказаться у тех организаций, с которыми она сотрудничает. Сохранность пользовательских данных зависит не только от успешной реализации программы ИБ у основного оператора данных, но все чаще от уровня защищенности данных в цепочке партнеров», - отмечает аналитик ГК InfoWatch Андрей Арсентьев.