Крупнейшая утечка персональных данных в истории здравоохранения

Появились подробности утечки персональных данных в страховой компании UnitedHealth. Эта утечка персональных данных затронула 100 млн пациентов. В результате взлома пострадала не только страховая компания, но и многочисленные учреждения здравоохранения. Масштаб инцидента делает его самой крупной утечкой персональных данных в истории здравоохранения США.

Портал по утечкам данных Управления по гражданским правам Министерства здравоохранения и социальных служб США разместило новую информацию о количестве людей, пострадавших от утечки данных в страховой компании UnitedHealth Group. Всего инцидент затронул 100 млн пациентов, что делает его крупнейшим нарушением в истории американского здравоохранения.

Напомним, что весной 2024 года стало известно о масштабной утечке информации, случившейся из UnitedHealth (точнее из ее дочерней структуры Change HealthCare) в феврале. Атака на страховую компанию была организована хакерами из группировки AlphV (BlackCat). Им удалось украсть 6 терабайт информации, включая массивы персональных данных. На слушаниях в Конгрессе глава компании United Health Эндрю Уитти (Andrew Witty) признался, что ей пришлось заплатить хакерам 22 млн долларов в надежде на то, что злоумышленники не будут распространять похищенные данные. Однако, хакеры не сдержали своего слова и совершили то, что в сфере кибербезопасности называется «мошенничеством с выходом» (exit scam), то есть приняли деньги и перестали выходить на связь, оставив конфиденциальные данные UnitedHealth и миллионов пациентов под угрозой.

Далее стало известно о внутреннем конфликте среди участников BlackCat. Ответственный за взлом компании UnitedHealth покинул банду и создал собственную группировку, которая, по данным СМИ, потребовала повторный выкуп у страховой компании.

В середине лета 2024 г. UnitedHealth оценила ущерб от утечки данных в 2 млрд долларов США. Сообщалось, что инцидент привел к серьезным сбоям в обслуживании пациентов по всей стране, так как пострадавшая компания обслуживала примерно треть платежей американцев в сфере медицинского обеспечения. В результате взлома были нарушены процессы выставления счетов, обработки платежей и даже предоставления медицинских услуг пациентам. Таким образом были затронуты многие учреждения системы здравоохранения, зависящие от платформы UnitedHealth.

Специалисты по кибербезопасности отмечают, что злоумышленники, используя сведения о здоровье, могут подавать мошеннические заявления на страховые выплаты. Выдавая себя за пациентов и используя их персональные данные, хакеры могут запрашивать дорогостоящие лекарственные препараты, процедуры или медицинское оборудование. Жертва утечки информации может узнать о мошенничестве только тогда, когда получит неожиданные счета за услуги или когда ему будет отказано в покрытии медицинских расходов по причине исчерпания льготных лимитов. Зная историю болезни жертвы, мошенники способны отправлять ей выглядящие вполне правдоподобно персонализированные фишинговые письма или совершать звонки, выдавая себя за поставщика медицинских услуг, страхового агента или даже сотрудника аптеки.

Имея доступ к финансовым данным клиента страховой компании, злоумышленник может попытаться использовать их для открытия новых кредитных линий. Это может значительно ухудшить кредитную историю жертвы и оставить ее с долгами из-за несанкционированных займов и списаний по карте.

Наконец, нельзя забывать, что в ряде случаев медицинские записи могут содержать конфиденциальную информацию о диагнозах пострадавшего пациента, истории его лечения и состоянии психического здоровья. Раскрытие такой информации способно нанести серьезный репутационный вред человеку. Кроме того, подобные данные злоумышленники используют для вторжения в личную жизнь и шантажа.

Компания UnitedHealth сообщила, что продолжает уведомлять об инциденте потенциально пострадавших лиц. Учитывая большой объем украденных данных и их сложность, расследование занимает довольно продолжительное время, оно еще не завершено. Компания находится в постоянном контакте с Министерством здравоохранения и социальных служб США, Управлением по гражданским правам и другими регулирующими органами.

Источник: Forbes