Mudar cuidados de saúde afirma que notificou quase 100 milhões de americanos de que seus registros pessoais, financeiros e de saúde podem ter sido roubados em um ataque de ransomware em fevereiro de 2024 que causou a maior violação de dados de informações de saúde protegidas já conhecida.
Foto: Tamer Tuncay, Shutterstock.com.
O ataque de ransomware à Change Healthcare na terceira semana de fevereiro causou rapidamente interrupções no sistema de saúde dos EUA que já duravam meses, devido ao papel central da empresa no processamento de pagamentos e receitas em nome de milhares de organizações.
Em abril, a Change estimou que a violação afetaria “uma grande parte da população americana”. No dia 22 de outubro, a gigante da saúde informou ao Departamento de Saúde e Trabalho dos EUA (HHS) que “aproximadamente 100 milhões de notificações foram enviadas sobre essas violações”.
Uma carta de notificação da Change Healthcare disse que a violação envolveu o roubo de:
-Dados de saúde: prontuários, médicos, doenças, medicamentos, resultados de exames, imagens, atendimento e tratamento;
-Registros de pagamento: Registros incluindo cartões de pagamento, registros financeiros e registros bancários;
-Seus Dados: Número de Segurança Social; carteira de motorista ou número de identificação estadual;
-Dados de seguros: planos/apólices de saúde, companhias de seguros, números de identificação de membros/grupos e números de identificação de pagadores do governo Medicaid-Medicare.
EU Jornal HIPAA informa que nos nove meses encerrados em 30 de setembro de 2024, a controladora da Change Grupo Unido de Saúde eles encontraram US$ 1,521 bilhão em custos de resposta a violações e US$ 2,457 bilhões em impactos totais de ataques cibernéticos.
Esses custos incluem US$ 22 milhões que a empresa admitiu ter pago aos fraudadores – um grupo de ransomware conhecido como O gato preto de novo ALPHV – por uma oferta para destruir dados roubados de cuidados de saúde.
O pagamento do resgate foi desviado quando o afiliado que deu ao BlackCat acesso à rede da Change alegou que a gangue os enganou em sua parte no resgate. Todas as operações de resgate do BlackCat foram encerradas depois disso, e ele fugiu com todo o dinheiro devido aos funcionários contratados para instalar o ransomware.
Aviso de violação da Change Healthcare.
Poucos dias após a instalação do BlackCat, os mesmos dados de saúde roubados foram colocados à venda por um grupo concorrente de ransomware chamado. Ransom Hub.
“As seguradoras afetadas podem entrar em contato conosco para evitar mais vazamentos de seus dados [remove it] da venda”, anunciou o blog de vergonha das vítimas do RansomHub em 16 de abril. “Mudar a saúde e o processamento de dados confidenciais da United Health para todas essas empresas é inacreditável. Para muitos americanos que duvidam de nós, provavelmente temos suas informações pessoais. “
Não está claro se o RansomHub alguma vez vendeu dados de saúde roubados. O diretor de segurança da informação de um grande sistema de saúde afetado pela violação disse ao KrebsOnSecurity que eles estavam ao telefone com o FBI e foram informados de que um colega conseguiu acessar pelo menos quatro terabytes de dados divulgados pela Change por um grupo de cibercriminosos. . . O FBI não respondeu a um pedido de comentário.
A carta de notificação de violação da Shintsha Healthcare oferece aos destinatários dois anos de monitoramento de crédito e serviços de proteção contra roubo de identidade da empresa nomeada. IDX. Em uma seção do texto negativo intitulada “Por que isso aconteceu?”, Change apenas compartilhou que “um hacker acessou nosso sistema de computador sem nossa permissão”.
Mas em depoimento de junho de 2024 ao Comitê de Finanças do Senado, descobriu-se que os invasores roubaram ou compraram credenciais do portal Citrix usadas para acesso remoto e que não havia necessidade de autenticação multifatorial para essa conta.
Mês passado, Sinta por Mark Warner (D-Va.) e Ron Wyden (ID-Ore.) apresentou um projeto de lei que exigiria que o HHS desenvolvesse e aplicasse um conjunto de padrões rígidos de segurança cibernética para prestadores de cuidados de saúde, planos de saúde, instalações de cuidados de saúde e parceiros comerciais. A medida também eliminaria uma medida de penalização existente ao abrigo da Lei de Portabilidade e Responsabilidade de Seguros de Saúde, que limita severamente as sanções financeiras que o HHS pode impor aos prestadores.
De acordo com o HIPAA Journal, a maior multa imposta até agora por uma violação da HIPPA foi uma pequena multa de US$ 16 milhões a uma seguradora. Empresa Hino Inc.sofreu uma violação de dados em 2015, afetando 78,8 milhões de pessoas. A Anthem relatou receita de aproximadamente US$ 80 bilhões em 2015.
Uma postagem sobre a violação da decisão de mudança do RansomHub em 8 de abril de 2024. Foto: Darkbeast, ke-la.com.
Há pouco que as vítimas destas violações possam fazer relativamente ao comprometimento dos seus registos de cuidados de saúde. No entanto, como os dados expostos incluem informações mais do que suficientes para os ladrões fazerem o que querem, seria sensato colocar segurança no seu arquivo de crédito e no de seus familiares, caso ainda não o tenha feito.
A melhor maneira de evitar que ladrões de identidade criem novas contas em seu nome é congelar seu arquivo de crédito com Equifax, Experian, de novo TransUnião. Este processo agora é gratuito para todos os americanos e simplesmente impede que potenciais credores vejam seu arquivo de crédito. Os pais e responsáveis agora também podem congelar os arquivos de crédito de seus filhos ou dependentes.
Como poucos credores estão dispostos a oferecer novas linhas de crédito sem serem capazes de determinar o quão arriscado é fazê-lo, congelar seu arquivo de crédito junto às Três Grandes é uma ótima maneira de evitar todas as formas de roubo de identidade. Ter uma garantia não impede que você use linhas de crédito que já possui, como cartões de crédito, hipotecas e contas bancárias. Quando e se você precisar permitir o acesso ao seu arquivo de crédito – como quando solicita um empréstimo ou um novo cartão de crédito – você precisará levantar ou descongelar temporariamente o gelo com antecedência com uma ou mais agências.
Todas as três agências permitem que os usuários criem uma conta eletrônica após criar uma conta, mas todas tentam evitar que os consumidores a congelem. Em vez disso, as agências esperam que os consumidores escolham seus confusos serviços chamados de “chave de crédito”, que alcançam o mesmo efeito, mas permitem que as agências continuem vendendo acesso ao seu arquivo para parceiros selecionados.
Se você não faz isso há algum tempo, agora seria um excelente momento para revisar seu arquivo de crédito em busca de imprecisões ou erros. Por lei, todos têm direito a um relatório de crédito gratuito a cada 12 meses de cada uma das três agências de informação de crédito. Mas a Comissão Federal de Comércio observa que as três principais agências prorrogaram indefinidamente um programa que entrou em vigor em 2020 e que permite verificar gratuitamente seu relatório de crédito em cada agência uma vez por semana.
