Миллионы американцев стали жертвами кражи конфиденциальной медицинской и оздоровительной информации после того, как хакеры, использовавшие уязвимость "нулевого дня" в широко распространенном программном обеспечении для передачи файлов MOVEit, совершили налет на системы, принадлежащие технологическому гиганту IBM.
Департамент политики и финансирования здравоохранения штата Колорадо (HCPF), отвечающий за управление программой Medicaid в штате Колорадо,
В уведомлении об утечке данных, направленном пострадавшим, HCPF штата Колорадо сообщил, что данные были скомпрометированы, поскольку IBM, один из поставщиков штата, "использует приложение MOVEit для перемещения файлов данных HCPF в ходе обычной работы".
В письме говорится, что, хотя ни одна система HCPF или правительства штата Колорадо не была затронута этой проблемой, "определенные файлы HCPF в приложении MOVEit, используемом IBM, были доступны неавторизованному субъекту".
Эти файлы включают полные имена пациентов, даты их рождения, домашние адреса, номера социального страхования, идентификационные номера Medicaid и Medicare, информацию о доходах, клинические и медицинские данные (включая результаты анализов и информацию о лекарствах), а также информацию о медицинском страховании.
По данным HCPF, пострадали около 4,1 млн. человек.
Компания IBM пока не подтвердила публично, что она пострадала от массовых взломов MOVEit, а представитель IBM не ответил на просьбу TechCrunch о комментарии.
Взлом систем MOVEit компании IBM также затронул Департамент социальных служб штата Миссури (DSS), хотя число пострадавших пока не известно. В штате Миссури проживает более 6 млн. человек.
В уведомлении об утечке данных, опубликованном на прошлой неделе, DSS штата Миссури заявила: "IBM является поставщиком, предоставляющим услуги DSS - агентству штата, которое обеспечивает предоставление услуг Medicaid имеющим на это право жителям штата Миссури. Уязвимость данных не оказала прямого воздействия на какие-либо системы DSS, но затронула данные, принадлежащие DSS".
По словам представителей DSS, данные, к которым был получен доступ, могут включать имя человека, номер клиента департамента, дату рождения, возможный статус права на получение пособия или покрытие, а также информацию о медицинских претензиях.
Ни HCPF штата Колорадо, ни DSS штата Миссури не были указаны на темном веб-сайте банды Clop, взявшей на себя ответственность за массовые взломы. В своем сообщении на сайте эта связанная с Россией группировка утверждает: "У нас нет никаких правительственных данных".
Новость об очередном взломе в Колорадо появилась всего через несколько дней после того, как Департамент высшего образования штата Колорадо сообщил о том, что в его системах произошел инцидент с вымогательством, в результате которого хакеры получили доступ и скопировали данные за 16 лет.
В прошлом месяце Университет штата Колорадо также подтвердил факт утечки данных, связанной с MOVEit, в результате которой пострадали десятки тысяч студентов и преподавателей.
В то же время компания PH Tech, предоставляющая услуги по управлению данными американским медицинским страховщикам, подтвердила, что она также пострадала от взлома MOVEit, в результате чего была затронута медицинская информация 1,7 млн. жителей штата Орегон.
Самым крупным взломом американских медицинских учреждений в этом году считается взлом компании HCA Healthcare, в результате которого в систему безопасности, не связанную с MOVEit, попали имена, адреса и данные о приемах 11,2 млн. человек.
