Den amerikanske leverandøren av medisinsk utstyr AdaptHealth har avslørt et cyberangrep som eksponerte pasientopplysninger etter at hackere lurte en tredjepartsleverandør gjennom et sosial manipuleringsangrep. Datainnbruddet hos AdaptHealth rammet flere skybaserte forretningssystemer. Selskapet konkluderte senere med at hendelsen var vesentlig og meldte den inn til den amerikanske børstilsynsmyndigheten Securities and Exchange Commission (SEC).
Sosial manipulering førte til kompromittert leverandørkonto
Hackere rettet angrepet mot en tredjepartsleverandør ved hjelp av sosial manipulering. De kapret en aktiv brukersesjon og fikk tilgang til flere skybaserte forretningssystemer.
Da AdaptHealth oppdaget innbruddet, deaktiverte selskapet umiddelbart den berørte kontoen og tilbakestilte de kompromitterte innloggingsopplysningene. Selskapet innførte også ekstra tilgangskontroller for å begrense angrepet.
- juni konkluderte AdaptHealth med at hendelsen oppfylte kriteriene for en vesentlig cybersikkerhetshendelse. Vurderingen bygget både på angrepets karakter og mengden data som kunne være utsatt.
Hackerne fikk tilgang til pasientsystemer
Ifølge meldingen til SEC fikk angriperne tilgang til interne systemer for pasientadministrasjon og plattformer for dokumentlagring.
De stjal også passord knyttet til forsikringsfakturering. De kompromitterte opplysningene omfattet personlig identifiserbar informasjon (PII) og beskyttede helseopplysninger (PHI) om pasienter.
AdaptHealth opplyste at de berørte systemene ikke lagrer amerikanske personnumre (Social Security-numre). De inneholder heller ikke betalingskortinformasjon eller individuelle bankkontoopplysninger. Dermed ble noen av de mest sensitive finansielle opplysningene ikke eksponert.
Etterforskningen pågår fortsatt
AdaptHealth har engasjert eksterne eksperter innen digital etterforskning for å undersøke datainnbruddet. Ekspertene arbeider med å fastslå hvordan angriperne fikk tilgang og nøyaktig hvilke opplysninger de stjal.
Selskapet har ennå ikke kartlagt det fulle omfanget av hendelsen. Det vet heller ikke hvor mange pasienter som er berørt.
AdaptHealth opplyser at selskapet allerede har iverksatt tiltak for å hindre at de stjålne opplysningene spres videre.
Ingen løsepengekrav er rapportert
Ingen ransomware-gruppe har så langt tatt på seg ansvaret for angrepet.
AdaptHealth opplyser også at selskapet ikke har mottatt noe krav om løsepenger. Det har heller ikke rapportert om betaling til angriperne.
Selskapet kan foreløpig ikke anslå de totale økonomiske konsekvensene av datainnbruddet. Kostnadene kan omfatte hendelseshåndtering, juridiske utgifter, regulatoriske undersøkelser, varsling av pasienter og omdømmeskade.
Samtidig opplyser AdaptHealth at selskapets cyberforsikring kan dekke deler av tapene.
Pasientbehandlingen fortsetter som normalt
AdaptHealth opplyser at datainnbruddet ikke har påvirket den daglige driften. Pasientene mottar fortsatt medisinsk utstyr og tjenester uten avbrudd.
Etterforskningen pågår fortsatt, mens sikkerhetseksperter arbeider med å kartlegge angrepet og dets fulle konsekvenser.


0 responses to “Datainnbrudd hos AdaptHealth eksponerer pasientopplysninger etter at en leverandørkonto ble kompromittert”