Den amerikanske leverandør af medicinsk udstyr AdaptHealth har afsløret et cyberangreb, der eksponerede patientoplysninger, efter at hackere narrede en tredjepartsleverandør gennem et social engineering-angreb. Databruddet hos AdaptHealth ramte flere cloudbaserede forretningssystemer. Virksomheden vurderede senere, at hændelsen var væsentlig, og indberettede den til den amerikanske børsmyndighed Securities and Exchange Commission (SEC).
Social engineering førte til kompromitteret leverandørkonto
Hackere rettede angrebet mod en tredjepartsleverandør ved hjælp af social engineering. De kaprede en aktiv brugersession og fik adgang til flere cloudbaserede forretningssystemer.
Da AdaptHealth opdagede indbruddet, deaktiverede virksomheden straks den berørte konto og nulstillede de kompromitterede loginoplysninger. Samtidig indførte virksomheden yderligere adgangskontroller for at begrænse angrebet.
Den 27. juni konkluderede AdaptHealth, at hændelsen opfyldte kriterierne for en væsentlig cybersikkerhedshændelse. Vurderingen byggede både på angrebets karakter og mængden af data, der kunne være i fare.
Hackere fik adgang til patientsystemer
Ifølge indberetningen til SEC fik angriberne adgang til interne patienthåndteringssystemer og platforme til dokumentlagring.
De stjal også adgangskoder, der var knyttet til forsikringsfakturering. De kompromitterede oplysninger omfattede personhenførbare oplysninger (PII) og beskyttede sundhedsoplysninger (PHI) om patienter.
AdaptHealth oplyste, at de berørte systemer ikke lagrer amerikanske personnumre (Social Security-numre). De indeholder heller ikke betalingskortoplysninger eller individuelle bankkontooplysninger. Derfor blev nogle af de mest følsomme finansielle data ikke eksponeret.
Efterforskningen fortsætter
AdaptHealth har hyret eksterne digitale retsmedicinske eksperter til at undersøge databruddet. Eksperterne arbejder på at fastslå, hvordan angriberne fik adgang, og præcis hvilke oplysninger de stjal.
Virksomheden har endnu ikke fastlagt det fulde omfang af hændelsen. Den ved heller ikke, hvor mange patienter der er blevet berørt.
AdaptHealth oplyser, at virksomheden allerede har iværksat tiltag for at forhindre, at de stjålne oplysninger bliver spredt yderligere.
Ingen krav om løsesum
Ingen ransomwaregruppe har indtil videre taget ansvaret for angrebet.
AdaptHealth oplyser også, at virksomheden ikke har modtaget noget krav om løsesum. Den har heller ikke oplyst, at der er blevet foretaget betaling til angriberne.
Virksomheden kan endnu ikke vurdere de samlede økonomiske konsekvenser af databruddet. Omkostningerne kan blandt andet omfatte hændelseshåndtering, juridiske udgifter, myndighedsundersøgelser, underretning af patienter og skade på virksomhedens omdømme.
AdaptHealth oplyser dog, at virksomhedens cyberforsikring kan dække en del af tabene.
Patientbehandlingen fortsætter som normalt
AdaptHealth oplyser, at databruddet ikke har påvirket den daglige drift. Patienterne modtager fortsat medicinsk udstyr og ydelser uden afbrydelser.
Efterforskningen fortsætter, mens sikkerhedseksperter arbejder på at klarlægge angrebet og dets fulde omfang.


0 svar til “Databrud hos AdaptHealth afslører patientoplysninger efter kompromittering af leverandørkonto”