Компания iRhythm, занимающаяся мониторингом сердечной деятельности, стала жертвой кражи данных, за которой последовала попытка вымогательства.
В документе, поданном в Комиссию по ценным бумагам и биржам (SEC), компания iRhythm сообщила, что 9 июня к ней обратился некто, заявивший, что похитил конфиденциальную информацию, включая закрытые данные, медицинскую информацию о пациентах (PHI) и другие личные данные. Этот человек потребовал выплату денежной суммы в обмен на отказ от публикации данных.
Компания iRhythm занимается амбулаторным мониторингом и анализом сердечной деятельности (например, с помощью пластыря Zio) и, по имеющимся данным, обработала более двух миллиардов часов данных о сердечном ритме, полученных от более чем двенадцати миллионов пациентов.
В заявлении компания сообщила, что данные были получены с помощью методов социальной инженерии и происходят из «некоторых бизнес-приложений, размещенных на сторонних серверах», не раскрывая при этом никаких дополнительных сведений об объеме данных.
На своем веб-сайте компания iRhythm также не раскрывает подробностей о характере похищенных данных, однако, судя по всему, финансовые данные не пострадали:
«Мы не выявили каких-либо последствий для наших продуктов, наших систем клинического или медицинского оборудования, наших отношений с клиентами, наших производственных и дистрибьюторских операций, безопасности пациентов или нашей способности удовлетворять потребности пациентов. Кроме того, мы не храним и не сохраняем данные об индивидуальных финансовых счетах или платежных картах».
«По мере проведения расследования мы будем уведомлять лиц, затронутых данным инцидентом, в соответствии с действующим законодательством и при необходимости принимать меры для их защиты и устранения последствий, которые они понесли».
Однако в документе, поданном в Комиссию по ценным бумагам и биржам (SEC), также отмечается, что компания iRhythm признала данный инцидент значимым «с учетом объема данных, которые потенциально могли быть скомпрометированы». В совокупности с заявлениями вымогателей о том, что у них находятся медицинские данные пациентов, это делает данную утечку достойной внимания, если вы когда-либо пользовались услугами iRhythm.
Даже без утечки платежных данных нарушения безопасности в сфере здравоохранения влекут за собой серьезные последствия:
- Злоумышленники могут создавать весьма убедительные электронные письма, текстовые сообщения или звонки, в которых упоминаются конкретные процедуры или мониторинг (например, «по поводу вашей недавней записи Zio Patch»), чтобы обманом заставить пациентов раскрыть дополнительные данные или оплатить поддельные счета.
- Утечка данных может быть использована для создания поддельной личности, совершения страхового мошенничества или хищения медицинских данных.
- Раскрытие информации о здоровье сердца и других аспектах здоровья может быть крайне деликатным вопросом и иметь последствия для трудоустройства или страхования, особенно если данные публикуются в открытом доступе или продаются брокерам данных.
Информация о нарушениях в сфере здравоохранения, как правило, остается в открытом доступе в течение многих лет, и жертвы могут сталкиваться с единичными попытками мошенничества и фишинга еще долго после того, как эта тема исчезнет из заголовков новостей.
Как оставаться в безопасности
Если вы пользовались услугами компании iRhythm, следите за почтой, электронной почтой и порталами для пациентов на предмет официальных уведомлений о нарушении безопасности от компании iRhythm или вашего лечащего врача.
В США об утечках защищенной медицинской информации, отвечающих определенным критериям, необходимо сообщать пациентам и регулирующим органам. Компания iRhythm пообещала «уведомить лиц, затронутых данным инцидентом, в соответствии с действующим законодательством, а также принять необходимые меры для защиты их интересов и устранения последствий инцидента».
Чтобы не попасть в руки фишеров и мошенников:
- Получив сообщение об утечке данных, проверьте по другим каналам, действительно ли оно поступило от компании iRhythm. Перейдите непосредственно на официальный сайт iRhythm или на портал для пациентов либо позвоните по известному вам номеру телефона, чтобы убедиться в подлинности сообщения.
- С особой осторожностью относитесь к электронным письмам или SMS-сообщениям, в которых предлагается компенсация, возмещение убытков или другие финансовые выплаты в связи с данным инцидентом.
- Смените пароли для порталов, связанных с iRhythm, а также для кардиологических порталов или порталов больниц, особенно если вы использовали эти пароли где-либо еще.
- Войдите на портал своей страховой компании и регулярно проверяйте статус заявлений о выплате страхового возмещения.
- Если вы заметили что-либо подозрительное, немедленно сообщите об этом своему страховщику и поставщику услуг и попросите их пометить ваш аккаунт как потенциально подверженный краже личных данных.
- Не сообщайте личную или финансовую информацию по телефону только потому, что звонящий знает о вас подробности, которые он, возможно, получил из похищенных данных.
Давайте посмотрим правде в глаза: окно в режиме инкогнито имеет свои ограничения.
Утечки данных, торговля в даркнете, мошенничество с кредитными картами. Malwarebytes Identity Theft отслеживает все эти угрозы, оперативно предупреждает вас и включает в себя страховку от кражи личных данных.
