Firma iRhythm, zajmująca się monitorowaniem pracy serca, padła ofiarą kradzieży danych, po której nastąpiła próba wymuszenia okupu.
W zgłoszeniu skierowanym do Komisji Papierów Wartościowych i Giełd (SEC) firma iRhythm poinformowała, że 9 czerwca skontaktowała się z nią osoba, która twierdziła, że wykradła poufne informacje, w tym dane zastrzeżone, dane medyczne pacjentów (PHI) oraz inne dane osobowe. Osoba ta zażądała zapłaty w zamian za niepublikowanie tych danych.
Firma iRhythm zajmuje się ambulatoryjnym monitorowaniem i analizą pracy serca (na przykład za pomocą plastra Zio) i według doniesień przetworzyła już ponad dwa miliardy godzin danych dotyczących bicia serca pochodzących od ponad dwunastu milionów pacjentów.
W zgłoszeniu firma podała, że dane zostały pozyskane w wyniku ataku socjotechnicznego i pochodzą z „niektórych aplikacji biznesowych hostowanych przez podmioty zewnętrzne”, nie ujawniając jednak żadnych dalszych szczegółów dotyczących ilości danych.
Na swojej stronie internetowej firma iRhythm również nie ujawnia zbyt wielu szczegółów dotyczących charakteru skradzionych danych, ale wydaje się sugerować, że nie dotyczyło to danych finansowych:
„Nie stwierdziliśmy żadnego wpływu na nasze produkty, systemy kliniczne lub systemy urządzeń medycznych, relacje z klientami, działalność produkcyjną i dystrybucyjną, bezpieczeństwo pacjentów ani naszą zdolność do zaspokajania potrzeb pacjentów. Ponadto nie przechowujemy ani nie gromadzimy danych dotyczących indywidualnych rachunków finansowych ani informacji o kartach płatniczych.
W trakcie prowadzonego przez nas dochodzenia będziemy informować osoby dotknięte tym incydentem zgodnie z obowiązującym prawem oraz podejmować niezbędne działania w celu zapewnienia im ochrony i zminimalizowania skutków tego zdarzenia.
W zgłoszeniu do SEC dodano jednak, że firma iRhythm uznała ten incydent za istotny „ze względu na ilość danych, które mogły zostać naruszone”. W połączeniu z twierdzeniami szantażystów, że posiadają dane medyczne pacjentów, sprawia to, że naruszenie to zasługuje na uwagę, jeśli kiedykolwiek korzystali Państwo z usług firmy iRhythm.
Nawet bez danych dotyczących płatności naruszenia bezpieczeństwa w służbie zdrowia mają poważne konsekwencje:
- Osoby atakujące potrafią tworzyć bardzo przekonujące wiadomości e-mail, SMS-y lub połączenia telefoniczne, w których odwołują się do konkretnych procedur lub przypadków monitorowania (na przykład: „w sprawie Twojego ostatniego nagrania z aplikacji Zio”), aby nakłonić pacjentów do udostępnienia dodatkowych danych lub opłacenia fałszywych rachunków.
- Wykradzione dane mogą posłużyć do stworzenia fałszywej tożsamości, popełnienia oszustwa ubezpieczeniowego lub kradzieży tożsamości medycznej.
- Ujawnienie informacji dotyczących zdrowia serca i innych kwestii zdrowotnych może być sprawą niezwykle wrażliwą i może mieć konsekwencje dla zatrudnienia lub ubezpieczenia, zwłaszcza jeśli dane te zostaną upublicznione lub sprzedane podmiotom zajmującym się handlem danymi.
Informacje o naruszeniach bezpieczeństwa w służbie zdrowia często krążą przez lata, a ofiary mogą spotykać się z sporadycznymi próbami oszustw i phishingu jeszcze długo po tym, jak temat zniknie z pierwszych stron gazet.
Jak zachować bezpieczeństwo
Jeśli korzystali Państwo z usług firmy iRhythm, prosimy o sprawdzanie poczty tradycyjnej, elektronicznej oraz portali dla pacjentów pod kątem oficjalnych powiadomień o naruszeniu bezpieczeństwa przesłanych przez firmę iRhythm lub Państwa placówkę medyczną.
W Stanach Zjednoczonych przypadki naruszenia bezpieczeństwa chronionych danych medycznych, które spełniają określone kryteria, muszą być zgłaszane pacjentom i organom regulacyjnym. Firma iRhythm zobowiązała się do „powiadomienia osób, których dotyczy ten incydent, zgodnie z obowiązującym prawem oraz podjęcia niezbędnych kroków w celu ochrony tych osób i zminimalizowania skutków tego zdarzenia”.
Aby nie paść ofiarą phisherów i oszustów:
- Po otrzymaniu powiadomienia o naruszeniu bezpieczeństwa danych sprawdź za pomocą innych kanałów, czy rzeczywiście pochodzi ono od firmy iRhythm. Wejdź bezpośrednio na oficjalną stronę internetową iRhythm lub portal dla pacjentów albo zadzwoń pod znany numer telefonu, aby upewnić się, że powiadomienie jest autentyczne.
- Należy zachować szczególną ostrożność w przypadku wiadomości e-mail lub SMS-ów, w których oferowane są odszkodowania, zwroty kosztów lub inne korzyści finansowe związane z tym zdarzeniem.
- Zmień hasła do portali powiązanych z iRhythm oraz do portali kardiologicznych lub szpitalnych przeznaczonych dla pacjentów, zwłaszcza jeśli używałeś tych haseł również w innych serwisach.
- Zaloguj się do portalu swojego ubezpieczyciela zdrowotnego i regularnie sprawdzaj stan swoich wniosków o zwrot kosztów.
- Jeśli zauważysz coś podejrzanego, natychmiast zgłoś to swojemu ubezpieczycielowi i dostawcy usług oraz poproś ich o oznaczenie Twojego konta jako potencjalnie narażonego na kradzież tożsamości.
- Nie należy podawać danych osobowych ani finansowych przez telefon tylko dlatego, że osoba dzwoniąca zna szczegóły dotyczące Państwa osoby, które mogła uzyskać na podstawie skradzionych danych.
Spójrzmy prawdzie w oczy – okno incognito ma swoje ograniczenia.
Naruszenia bezpieczeństwa, handel na dark webie, oszustwa kredytowe. Theft Malwarebytes Identity Theft monitoruje wszystkie te zagrożenia, szybko Cię o nich powiadamia i obejmuje ubezpieczenie od kradzieży tożsamości.
