Shields Health Care Group (Shields) sufrió una violación de datos que expuso los datos de aproximadamente 2 000 000 de personas en los Estados Unidos después de que los piratas informáticos violaron su red y robaron datos.
Shields es un proveedor de servicios médicos con sede en Massachusetts que se especializa en imágenes de diagnóstico por resonancia magnética y PET/CT, oncología radioterápica y servicios quirúrgicos ambulatorios.
Según una notificación de violación de datos publicada en el sitio de la empresa, Shield se enteró del ciberataque el 28 de marzo de 2022 y contrató a especialistas en ciberseguridad para determinar el alcance del incidente.
El examen de los archivos de registro mostró que los piratas informáticos tuvieron acceso a los sistemas de Shields desde el 7 de marzo de 2022 hasta el 21 de marzo de 2022, lo que les permitió acceder potencialmente a datos que contenían la siguiente información del paciente:
- Nombre completo
- Número de seguro social
- Fecha de nacimiento
- Dirección de casa
- Información del proveedor
- Diagnóstico
- Datos de facturación
- Número de seguro e información
- Numero de historia CLINICA
- ID del paciente
- Otra información médica o de tratamiento
La información anterior se puede utilizar para ingeniería social, phishing, estafa e incluso extorsión, según el caso, y generalmente se considera información extremadamente sensible.
Shields dice que no ha visto evidencia de que la información robada haya sido mal utilizada o difundida en canales ilegales. Sin embargo, podría ser demasiado pronto para que esos datos circulen públicamente.
Por lo general, la información robada de este tipo se intercambia de forma privada y se utiliza en ataques dirigidos a pequeña escala antes de que se revenda a actores de amenazas de nivel inferior que se dedican a la explotación masiva.
Impacto masivo
Si bien el aviso no determina cuántos pacientes se vieron afectados por el incidente, Bleeping Computer supo que dos millones de personas se vieron afectadas por el portal de la Oficina de Derechos Civiles del Departamento de Salud de EE. UU.
Debido a que el tipo de negocio de Shields se basa en asociaciones con hospitales y centros médicos, las consecuencias del incidente de seguridad son de gran alcance e impactan a 56 instalaciones y sus pacientes.
Algunos ejemplos notables incluyen el Tufts Medical Center, el Emerson Hospital, el Winchester Hospital, el Falmouth Hospital y el Central Maine Medical Center.
La lista completa de instalaciones médicas afectadas se incluye en el aviso de incidente de seguridad de datos publicado en el sitio web del proveedor de servicios.
Shields no tiene una relación directa con las personas afectadas, pero planea informarles directamente cuando se haya completado el examen del incidente. Mientras tanto, la compañía ha notificado a las fuerzas del orden público federales y a los reguladores estatales pertinentes.
Lo mejor que pueden hacer ahora las personas potencialmente afectadas es verificar si utilizaron los servicios médicos en las instalaciones enumeradas en el aviso de Shield y luego seguir las instrucciones adjuntas para reclamar sus servicios gratuitos de informes crediticios anuales.
Fuente: https://www.bleepingcomputer.com
