iRhythm, een leverancier van hartmonitoringapparatuur, is het slachtoffer geworden van gegevensdiefstal, gevolgd door een poging tot afpersing.
In een rapport aan de Securities and Exchange Commission (SEC) heeft iRhythm bekendgemaakt dat het op 9 juni werd benaderd door iemand die beweerde gevoelige informatie te hebben gestolen, waaronder bedrijfsgeheimen, medische gegevens van patiënten en andere persoonlijke informatie. Die persoon eiste geld in ruil voor het niet openbaar maken van de gegevens.
iRhythm biedt ambulante hartmonitoring en -analyse (bijvoorbeeld met behulp van de Zio-pleister) en heeft naar verluidt meer dan twee miljard uur aan hartslagggevens van meer dan twaalf miljoen patiënten verwerkt.
In de verklaring meldde het bedrijf dat de gegevens via social engineering waren verkregen en afkomstig waren van „bepaalde door derden gehoste bedrijfsapplicaties“, zonder verdere details over de omvang van de gegevens te verstrekken.
Ook op zijn eigen website maakt iRhythm niet veel bekend over de aard van de gestolen gegevens, maar lijkt het wel te suggereren dat er geen financiële gegevens bij betrokken waren:
“We hebben geen gevolgen vastgesteld voor onze producten, onze klinische of medische hulpmiddelsystemen, onze relaties met klanten, onze productie- en distributieactiviteiten, de patiëntveiligheid of ons vermogen om aan de behoeften van patiënten te voldoen. Bovendien slaan we geen individuele financiële accountgegevens of betaalkaartgegevens op of bewaren we deze niet.
Terwijl we het incident grondig onderzoeken, zullen we de betrokkenen hiervan op de hoogte stellen in overeenstemming met de geldende wetgeving en waar nodig maatregelen nemen om hen te beschermen en de gevolgen voor hen te verhelpen.
In de SEC-aangifte wordt echter toegevoegd dat iRhythm heeft vastgesteld dat het incident aanzienlijk is, „gezien de omvang van de mogelijk getroffen gegevens“. In combinatie met de beweringen van de afpersers dat zij over medische gegevens van patiënten beschikken, maakt dit het datalek tot een zaak die de aandacht verdient als u gebruik hebt gemaakt van de diensten van iRhythm.
Zelfs zonder betalingsgegevens hebben datalekken in de gezondheidszorg ernstige gevolgen op de lange termijn:
- Aanvallers kunnen zeer overtuigende e-mails, sms-berichten of telefoontjes opstellen waarin wordt verwezen naar specifieke procedures of controle-incidenten (bijvoorbeeld: „met betrekking tot uw recente Zio-patchopname“) om patiënten ertoe te verleiden meer gegevens vrij te geven of valse rekeningen te betalen.
- De gestolen gegevens kunnen worden gebruikt om een valse identiteit aan te maken, verzekeringsfraude te plegen of medische identiteitsdiefstal te plegen.
- Het openbaar maken van medische en andere gezondheidsgerelateerde gegevens kan zeer gevoelig liggen en gevolgen hebben voor de werkgelegenheid of verzekeringen, vooral als de gegevens openbaar worden gemaakt of aan gegevensmakelaars worden verkocht.
Gegevens over datalekken in de gezondheidszorg blijven vaak jarenlang in omloop, en slachtoffers kunnen nog lang nadat de krantenkoppen zijn verdwenen te maken krijgen met sporadische pogingen tot fraude en phishing.
Hoe blijf ik veilig
Als u gebruik hebt gemaakt van de diensten van iRhythm, houd dan uw post, e-mail en patiëntenportalen in de gaten voor officiële meldingen van een datalek door iRhythm of uw zorgverlener.
In de VS moeten inbreuken op de bescherming van medische gegevens die aan bepaalde criteria voldoen, worden gemeld aan patiënten en toezichthouders. iRhythm heeft toegezegd „de door dit incident getroffen personen in kennis te stellen overeenkomstig de geldende wetgeving en de nodige maatregelen te nemen om hen te beschermen en de gevolgen voor hen te verhelpen.“
Om uit de handen van phishers en oplichters te blijven:
- Als u een bericht ontvangt over het datalek, controleer dan via andere kanalen of het daadwerkelijk afkomstig is van iRhythm. Ga rechtstreeks naar de officiële website of het patiëntenportaal van iRhythm, of bel een bekend telefoonnummer om te controleren of het bericht echt is.
- Wees extra op uw hoede voor e-mails of sms-berichten waarin wordt beweerd dat u een vergoeding, terugbetaling of andere financiële compensatie krijgt in verband met dit incident.
- Wijzig de wachtwoorden voor uw aan iRhythm gekoppelde portalen en de patiëntenportalen van uw cardiologieafdeling of ziekenhuis, vooral als u die wachtwoorden ook elders hebt gebruikt.
- Log in op het portaal van uw zorgverzekeraar en controleer regelmatig of er declaraties zijn ingediend.
- Als u iets verdachts opmerkt, meld dit dan onmiddellijk aan uw verzekeraar en uw dienstverlener en vraag hen om uw account te markeren als mogelijk slachtoffer van identiteitsdiefstal.
- Geef geen persoonlijke of financiële gegevens door via de telefoon, alleen maar omdat de beller details over u weet die hij mogelijk uit de gestolen gegevens heeft gehaald.
Laten we eerlijk zijn: een incognitovenster heeft zo zijn beperkingen.
Datalekken, handel op het dark web, kredietfraude. Malwarebytes Identity Theft houdt dit allemaal in de gaten, waarschuwt u direct en biedt bovendien een verzekering tegen identiteitsdiefstal.
