Οι χάκερ έκλεψαν τα δεδομένα αφού παραβίασαν την εταιρεία ασφάλισης υγείας του Wisconsin Physicians Service (WPS), η οποία παρείχε διοικητικές υπηρεσίες Medicare.
Το CMS είναι μια ομοσπονδιακή υπηρεσία εντός του HHS που διαχειρίζεται τα μεγάλα προγράμματα υγειονομικής περίθαλψης της χώρας, συμπεριλαμβανομένων των Medicaid και CHIP.
Επιβλέπει τα προγράμματα για να διασφαλίσει ότι πληρούν τα ομοσπονδιακά πρότυπα, παρέχει χρηματοδότηση, επιβάλλει πολιτικές και κανονισμούς, παρακολουθεί την ποιότητα και το κόστος και συμβάλλει στη ρύθμιση της αγοράς ασφάλισης υγείας του νόμου για την προσιτή φροντίδα (ACA).
Ένα δελτίο τύπου από το CMS στις 6 Σεπτεμβρίου ενημέρωσε ότι η υπηρεσία και η WPS ειδοποιούσαν 946.801 άτομα με το Medicare σχετικά με πληροφορίες προσωπικής ταυτοποίησης που εκτέθηκαν στις επιθέσεις MOVEit που συνέβησαν πριν από περισσότερο από ένα χρόνο.
Την ίδια μέρα, η ομοσπονδιακή υπηρεσία ανέφερε στην πύλη παραβίασης του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HSS) ότι ο πλήρης αριθμός των ατόμων με κλοπή πληροφοριών ήταν 3.112.815 άτομα.
Σε διευκρινίσεις για το BleepingComputer, ένας εκπρόσωπος του CMS εξήγησε ότι η διαφορά αντιπροσώπευε άτομα που είτε έχουν αποβιώσει είτε δεν ήταν δικαιούχοι του Medicare αλλά η WPS είχε συλλέξει τα δεδομένα τους ως μέρος της εργασίας τους για το CMS.
Σύμφωνα με το δελτίο τύπου του CMS, η WPS εφάρμοσε τις ενημερώσεις ασφαλείας από το Progress Software, τον προγραμματιστή του MOVEit Transfer, στις αρχές Ιουνίου 2023 και υπέθεσε τότε ότι τα συστήματά του ήταν ασφαλή.
Ωστόσο, μια ανασκόπηση του περιστατικού τον Μάιο του 2024 αποκάλυψε ότι οι χάκερ είχαν παραβιάσει το δίκτυο WPS προτού η εταιρεία εφαρμόσει την ενημερωμένη έκδοση κώδικα ασφαλείας και είχε διεισδύσει ορισμένα αρχεία.
Στις 8 Ιουλίου 2024, ενώ ακόμη αξιολογούσε το περιεχόμενο των κλεμμένων αρχείων, το CMS διαπίστωσε ότι περιείχαν, μεταξύ άλλων, τις ακόλουθες πληροφορίες:
- Ονομα
- Αριθμός Κοινωνικής Ασφάλισης ή Ατομικός Αριθμός Φορολογικού Μητρώου
- Ημερομηνία γεννήσεως
- Ταχυδρομική διεύθυνση
- Γένος
- Αριθμός Λογαριασμού Νοσοκομείου
- Ημερομηνίες υπηρεσίας
- Αναγνωριστικό δικαιούχου Medicare (MBI) ή/και Αριθμός αξίωσης ασφάλισης υγείας
Καθώς η διερεύνηση του συμβάντος συνεχίζεται, προσφέρεται στα επηρεαζόμενα άτομα μια 12μηνη δωρεάν υπηρεσία παρακολούθησης πιστώσεων από την Experian για τον μετριασμό των κινδύνων που προκύπτουν από την έκθεση τους στα δεδομένα.
Παρόλο που η Cl0p ισχυρίστηκε ότι θα διαγράψει δεδομένα που ανήκουν σε νοσοκομεία, οργανισμούς υγειονομικής περίθαλψης και κυβερνητικές οντότητες των ΗΠΑ, είναι πρακτικά αδύνατο για κανέναν να εγγυηθεί ότι τα κλεμμένα δεδομένα δεν έχουν κοινοποιηθεί ή πουληθεί στον σκοτεινό ιστό.
VIA: bleepingcomputer.com
