Mom´s Meals, un servicio de entrega de comida a domicilio para personas con enfermedades crónicas que opera en EE.UU., ha hecho pública una gran violación de datos que comprometería a 1,2 millones de usuarios.
La empresa matriz de Mom´s Meals, PurFoods, ha presentado un aviso de violación de datos ante el fiscal general de Maine, donde revela que sufrió un ciberataque entre el 16 de enero y el 22 de febrero.
Según la compañía, el incidente supuso que se cifraran ciertos archivos. Además hallaron algunas herramientas que se usan habitualmente para robar datos de su red. Todo ello hace pensar que se trató de un ataque de ransomware.
Con el fin de realizar una investigación exhaustiva sobre el suceso, Mom´s Meals contrató a una empresa especializada en respuesta a incidentes, finalizando la misma el pasado 10 de julio. Así, esta llegó a la conclusión de que se habrían filtrado archivos que contenían información de salud personal y protegida.
Entre los datos expuestos se encontrarían nombres de clientes, números de Seguro Social, números de licencia de conducir y de identificación estatal, información de cuentas financieras y tarjetas de pago, números de registros médicos, información de salud, información de tratamientos, códigos de diagnóstico, categorías y costes de comidas, información de seguros médicos y números de identificación de pacientes.
Usuarios y empleados perjudicados
Entre los 1,2 millones de afectados habría pacientes que habrían recibido los packs de comida de Mom´s Meals, incluyendo los asociados a los programas federales de seguros médicos Medicare y Medicaid, además de aquellos que se costean sus propias suscripciones por no tener un plan de salud elegible.
Además, según se hace eco Techcrunch, la violación de datos también habría impactado en los empleados actuales y ex empleados de la compañía, así como en proveedores independientes.
PurFoods asegura que comenzó a avisar a los afectados de lo ocurrido el pasado 25 de agosto, es decir, 7 meses después de la infracción y un mes después de concluir la investigación. La cuestión que queda por dilucidar ahora es por qué tardó tanto en hacerlo.
La firma se ha comprometido a prestar servicios de monitorización de crédito durante 12 meses mediante el gigante de consultoría financiera y de seguridad Krol. Lo curioso es que Kroll también habría sido víctima de un ciberataque recientemente.