Den amerikanska leverantören av medicinsk utrustning AdaptHealth har avslöjat en cyberattack som exponerade patientuppgifter efter att hackare lurat en extern leverantör genom en social manipulation. AdaptHealths dataintrång påverkade flera molnbaserade verksamhetssystem. Företaget bedömde senare att incidenten var av väsentlig betydelse och anmälde den till den amerikanska finansinspektionen, Securities and Exchange Commission (SEC).
Social manipulation ledde till komprometterat leverantörskonto
Hackarna riktade in sig på en extern leverantör genom en social manipulationsattack. De kapade en aktiv användarsession och fick åtkomst till flera molnbaserade verksamhetssystem.
När AdaptHealth upptäckte intrånget stängde företaget omedelbart av det berörda kontot och återställde de komprometterade inloggningsuppgifterna. Företaget införde även ytterligare åtkomstkontroller för att begränsa attacken.
Den 27 juni drog AdaptHealth slutsatsen att incidenten uppfyllde kraven för att klassas som en väsentlig cybersäkerhetshändelse. Bedömningen grundades både på attackens karaktär och mängden data som kan ha utsatts för risk.
Hackare fick åtkomst till patientsystem
Enligt anmälan till SEC fick angriparna åtkomst till interna system för patienthantering och plattformar för dokumentlagring.
De stal även lösenord kopplade till försäkringsfakturering. Den komprometterade informationen omfattade personligt identifierbar information (PII) samt skyddade patientuppgifter (PHI).
AdaptHealth uppgav att de berörda systemen inte lagrar personnummer enligt det amerikanska Social Security-systemet. De innehåller inte heller betalningskortsinformation eller uppgifter om individuella bankkonton. Därför exponerades inte några av de mest känsliga finansiella uppgifterna.
Utredningen pågår fortfarande
AdaptHealth har anlitat externa experter inom digital forensik för att utreda intrånget. Experterna arbetar med att fastställa hur angriparna tog sig in och exakt vilken information som stals.
Företaget har ännu inte fastställt den fullständiga omfattningen av incidenten. Det är fortfarande oklart hur många patienter som påverkades.
AdaptHealth uppger att företaget redan har vidtagit åtgärder för att förhindra att den stulna informationen sprids vidare.
Inga krav på lösensumma har rapporterats
Ingen ransomwaregrupp har hittills tagit på sig ansvaret för attacken.
AdaptHealth uppger också att företaget inte har mottagit något krav på lösensumma. Företaget har inte heller rapporterat att någon betalning har gjorts till angriparna.
Det är ännu inte möjligt att uppskatta den totala ekonomiska påverkan av dataintrånget. Kostnaderna kan omfatta incidenthantering, juridiska utgifter, myndighetsutredningar, patientinformation och skador på företagets anseende.
Samtidigt uppger AdaptHealth att företagets cyberförsäkring kan täcka en del av förlusterna.
Patientvården fortsätter som vanligt
AdaptHealth uppger att dataintrånget inte har påverkat den dagliga verksamheten. Patienterna fortsätter att få medicinsk utrustning och vårdtjänster utan avbrott.
Utredningen pågår fortfarande medan säkerhetsexperter fortsätter att analysera attacken och dess fulla konsekvenser.


0 svar till ”AdaptHealths dataintrång exponerar patientuppgifter efter att ett leverantörskonto komprometterats”