Утечка персональной информации у разработки для телемедицины

Крупную утечку персональной информации зафиксировала компания Open Loop Health. Утечка персональной информации затронула более 700 тыс. пациентов.

Компания OpenLoop Health, разработчик платформ для телемедицины, еще в середине марта уведомила об утечке данных Управление по гражданским правам Министерства здравоохранения и социальных служб США (OCR HHS). Но уведомление об инциденте было добавлено на сайт регулятора только в мае. В этом документе отмечается, что произошла утечка медицинской информации 716 тыс. человек.

Согласно уведомлению, предоставленному генеральному прокурору штата Калифорния, 7 января 2026 г. компания OpenLoop Health узнала о том, что неавторизованная третья сторона получила доступ к некоторым ее системам и скопировала файлы, содержащие конфиденциальные данные. Для расследования инцидента, определения его характера и масштабов, а также для обеспечения безопасности систем и предотвращения дальнейшего доступа к ним, были привлечены сторонние специалисты по кибербезопасности.

Цифровая криминалистическая экспертиза показала, что неизвестные лица имели доступ к сети компании 7 и 8 января 2026 г., а файлы, похищенные из систем, содержали такую информацию, как имена, адреса, адреса электронной почты, даты рождения и медицинские данные.

Компания OpenLoop Health заявила, что номера социального страхования не были скомпрометированы или украдены. С тех пор были приняты меры по укреплению безопасности, и пострадавшие лица получают уведомления по почте. Людям, которых затронул инцидент, были предложены бесплатные сервисы мониторинга кредитной истории и защиты от кражи персональных данных.

Ответственность за взлом систем взял на себя хакер под псевдонимом Stuckin2019. На одном из форумов в Дарквебе злоумышленник сообщил, что получил данные 1,6 млн пациентов. К этому утверждению стоит относиться критически. Киберпреступники склонны преувеличивать количество жертв, а некоторые их заявления являются ложными. Кроме того, Stuckin2019 мог посчитать записи, которые не являются уникальными. Правда, хакер поделился образцами украденных данных.

К настоящему времени компания OpenLoop Health публично не подтвердила названный регулятором масштаб утечки информации и достоверность заявлений Stuckin2019.

На веб-сайте Генеральной прокуратуры Техаса указано, что утечка данных на стороне OpenLoop Health затронула 68 160 жителей штата. Информация об этом инциденте была опубликована генеральным прокурором Техаса 18 марта 2026 года.

По данным журналистов, Stuckin2019 действует как хакер-одиночка, у него нет сообщников. Ранее он атаковал других разработчиков решений для телемедицинской сферы. В частности, злоумышленник утверждал, что его жертвой стала компания Zealthy из Нью-Йорка. Но представители этой компании до сих пор не подтвердили наличие инцидента информационной безопасности.

Напомним, что в апреле об инциденте ИБ сообщил крупный американский поставщик услуг телемедицины Hims & Hers.

Источник: HIPAA Journal