La información personal y de salud de más de 2,8 millones de pacientes estadounidenses podría haber caído en manos de los ciberdelincuentes.
El proveedor de servicios de gestión de medicamentos Sav-Rx ha experimentado un incidente de violación de datos que habría expuesto detalles de todas estas personas.
En concreto, se han comprometido nombres, fechas de nacimiento, números de seguridad social, correos electrónicos, direcciones físicas, números de teléfono, datos de elegibilidad y números de identificación del seguro. Un tercero no autorizado accedió a sistemas no clínicos y se apropió de archivos sensibles.
Afortunadamente, la información clínica y financiera de los pacientes permaneció protegida, según se hace eco The Cyber Express.
El incidente fue detectado el 8 de octubre del año pasado, según consta en una notificación de infracción enviada al Fiscal General de Maine. La empresa encontró que se había producido un acceso no autorizado a su red informática.
En aquel momento Sav-RX contrató a expertos en ciberseguridad externos para contener e investigar la infracción. Los sistemas de TI afectados se restauraron en un solo día, por lo que la atención a los pacientes no se vio afectada.
Para ahondar en lo sucedido la empresa abrió una investigación que concluyó el pasado 30 de abril. A partir del pasado 24 de mayo se comenzó a notificar a los afectados.
¿Un ataque de ransomware?
La compañía también asegura que la parte no autorizada destruyó los datos adquiridos y no los difundió más. Esto es algo sospechoso que lleva a pensar que se trató de un ataque de ransomware y que podría haber un pago del rescate de por medio. Por el momento no se sabe qué grupo podría estar detrás del ataque.
La firma aconseja a los afectados que vigilen sus cuentas en busca de signos de fraude o robo de identidad. Además, les ofrece dos años de servicios de monitorización de crédito y protección contra robo de identidad mediante Equifax.
Sav-RX, opera bajo A&A Services y ofrece servicios de administración de beneficios de medicamentos a varios planes de salud, para lo cual requiere la recopilación y almacenamiento de datos personales de los participantes así como de los empleados del plan de salud.