1,6 miliona osób dotkniętych masowym naruszeniem danych w Laboratory Services Cooperative

Dostawca testów medycznych Laboratory Services Cooperative (LSC) potwierdził niszczycielskie naruszenie danych, które ujawniło poufne dane osobowe i medyczne około 1,6 miliona osób. Incydent, który miał miejsce w październiku 2024 r., wzbudził poważne obawy dotyczące bezpieczeństwa danych opieki zdrowotnej i rosnącego zagrożenia cyberatakami na sektor medyczny.

Według LSC naruszenie zostało zidentyfikowane 27 października, po tym jak aktor zagrożenia z powodzeniem zinfiltrował sieć organizacji i wykradł liczne pliki zawierające wysoce poufne informacje. Naruszone dane dotyczą zarówno pacjentów, jak i pracowników, w tym tych powiązanych z wybranymi ośrodkami Planned Parenthood.

Jakie informacje skradziono w wyniku naruszenia bezpieczeństwa danych LSC?

Zakres ujawnionych informacji jest alarmujący. Dotknięte osoby mogły mieć skradzione swoje imiona, adresy domowe, numery telefonów, adresy e-mail, daty urodzenia i numery ubezpieczenia społecznego. Ponadto naruszono również numery prawa jazdy, numery wydanych przez rząd dowodów osobistych lub paszportów oraz szczegółowe informacje o ubezpieczeniu zdrowotnym.

W przypadku niektórych pacjentów naruszenie rozszerzyło się jeszcze bardziej, ujawniając szczegóły diagnozy i leczenia, daty i miejsca usług medycznych, numery dokumentacji medycznej i wyniki badań laboratoryjnych. Ten rodzaj danych jest szczególnie wrażliwy, ponieważ może zostać wykorzystany do kradzieży tożsamości medycznej lub szantażu ofiar.

Wśród skradzionych informacji znalazły się również dane finansowe. Numery kont bankowych, dane kart płatniczych, zapisy rozliczeń, numery roszczeń i inne osobiste identyfikatory finansowe mogą teraz trafić w ręce cyberprzestępców. LSC potwierdziło również, że podczas ataku uzyskano dostęp do informacji dotyczących osób zależnych lub beneficjentów swoich pracowników.

Pacjenci Planned Parenthood wśród osób dotkniętych chorobą

LSC zauważyło, że część zagrożonych danych dotyczy pacjentów z wybranych lokalizacji Planned Parenthood. Organizacja podkreśliła, że nie wszystkie ośrodki zostały dotknięte — potencjalnie narażone były tylko te, które otrzymywały usługi badań laboratoryjnych od LSC.

„Należy pamiętać, że incydent ten nie dotyczył wszystkich centrów Planned Parenthood” – stwierdziła organizacja w oficjalnym powiadomieniu o naruszeniu. „Mógł on dotyczyć wyłącznie tych centrów, które otrzymały usługi badań laboratoryjnych od LSC”.

Chociaż LSC nie ujawniło jeszcze konkretnej metody użytej w cyberataku — ani czy doszło do próby wymuszenia — organizacja zatrudniła zewnętrznych ekspertów ds. cyberbezpieczeństwa, aby zbadali incydent i monitorowali potencjalne niewłaściwe wykorzystanie skradzionych danych. Jak dotąd nie pojawiły się żadne dowody wskazujące na to, że naruszone informacje zostały rozpowszechnione lub sprzedane w dark webie.

LSC odpowiada usługami ochrony i monitorowania tożsamości

W dokumentach regulacyjnych złożonych w biurze prokuratora generalnego stanu Maine, LSC potwierdziło, że 1,6 miliona osób zostało dotkniętych. Organizacja oferuje osobom dotkniętym 12 lub 24 miesiące bezpłatnego monitorowania zdolności kredytowej i usług ochrony tożsamości medycznej, w zależności od rodzaju naruszonych informacji.

Pomimo tych wysiłków, naruszenie bezpieczeństwa podnosi krytyczne pytania o to, w jaki sposób dostawcy usług opieki zdrowotnej zabezpieczają dane pacjentów i czy branża jest przygotowana na odparcie coraz bardziej wyrafinowanych cyberzagrożeń. Kradzież zarówno dokumentacji medycznej, jak i finansowej stwarza podwójne ryzyko dla ofiar, które mogą teraz stanąć w obliczu zagrożeń kradzieży tożsamości, oszustwa lub czegoś gorszego.

W miarę trwania dochodzeń, osoby dotknięte incydentem są wzywane do zachowania czujności, ścisłego monitorowania swoich kont finansowych i medycznych oraz korzystania z oferowanych usług ochrony. Ten incydent jest kolejnym przypomnieniem o wysokich stawkach związanych z cyberbezpieczeństwem opieki zdrowotnej — i potrzebie silniejszych, bardziej proaktywnych środków obronnych na całej linii.