Крупная утечка данных в дерматологической клинике

Массовые утечки данных зафиксированы в дерматологических практиках США. В результате одной из этих утечек данных потеряна информация 1,9 млн пациентов.

Американские сети клиник Anne Arundel Dermatology и Mountain Laurel Dermatology начали рассылать своим пациентам уведомления о недавних инцидентах информационной безопасности, связанных с кражей персональных данных.

Утечка данных в Anne Arundel Dermatology стала одной из крупнейших в американском здравоохранении с начала 2025 года.

Сеть клиник Anne Arundel Dermatology, предоставляющая услуги в области терапевтической, детской, хирургической и эстетической дерматологии во Флориде, Джорджии, Мэриленде, Северной Каролине, Пенсильвании, Теннесси и Вирджинии, недавно уведомила пациентов о взломе, произошедшем в начале этого года. Вторжение в свою сеть организация обнаружила 13 мая 2025 г. Специалисты по кибербезопасности приняли оперативные меры защиты систем клиник и предотвращению дальнейшего несанкционированного доступа. Расследование показало, что доступ к информационным системам Anne Arundel Dermatology продолжался около месяца, а первоначальный взлом сети случился еще 14 февраля 2025 г.

Экспертиза подтвердила 20 мая, что в скомпрометированных сегментах сети содержались персональные данные и защищенные законом медицинские сведения. Согласно проверке файлов, которая была завершена 27 июня, были скомпрометированы имена, адреса, даты рождения, медицинская информация, данные о медицинском страховании и другие персональные данные. Клинике не удалось определить, какие файлы были просмотрены злоумышленниками, а какие были скачаны, поэтому всем лицам, которых потенциально мог затронуть инцидент, отправили уведомления. Всем пострадавшим лицам предоставлены бесплатные услуги по кредитному мониторингу и защите от кражи личных данных сроком 24 месяца. Со своей стороны, сеть клиник усилила меры безопасности данных для предотвращения подобных инцидентов в будущем.

О хакерской атаке на Anne Arundel Dermatology были оповещены генеральные прокуроры штатов, а также Управление по гражданским правам (OCR) Министерства здравоохранения и социальных служб США (HHS). Портал OCR, посвященный утечкам данных, сообщает, что в результате атаки была раскрыта медицинская информация 1 905 000 пациентов, что делает эту утечку данных одной из крупнейших в этом году среди медицинских организаций США.

Примерно в то же время произошла кибератака на сеть Mountain Laurel Dermatology в Эшвилле, штат Северная Каролина. Согласно уведомлению об утечке данных, 12 мая 2025 года в сети клиник обнаружена аномальная активность во внешней облачной системе. Специалистам по кибербезопасности удалось оперативно защитить систему, а для расследования были привлечены сторонние эксперты по кибербезопасности. Они установили, что мог произойти несанкционированный доступ, в ходе которого получены файлы, содержащие конфиденциальные данные пациентов.

Проверка затронутых в ходе инцидента файлов была завершена 27 июня 2025 года. Она подтвердила, что скомпрометированная информация включала имена, даты рождения, номера социального страхования, информацию о заявках, платежную информацию, результаты анализов и/или другую информацию о лечении или диагнозах. Компания Mountain Laurel Dermatology заявила, что её система электронных медицинских карт не пострадала. Организация приняла меры по усилению сетевой безопасности, а пострадавшим лицам были отправлены уведомления. В этих уведомлениях не упоминаются услуги кредитного мониторинга или защиты от кражи персональных данных.

В настоящее время информация об утечке данных из Mountain Laurel Dermatology не представлена на веб-сайте OCR HHS, поэтому неизвестно, сколько человек пострадало.

Источник: The HIPAA Journal