Change Healthcare, das zu UnitedHealth gehörende Gesundheitstechnologieunternehmen, das im vergangenen Jahr bei einem Ransomware-Angriff sensible Gesundheitsdaten von mehr als 100 Millionen Menschen verloren hat, sagte am Dienstag, dass das Unternehmen die Benachrichtigung betroffener Personen über den massiven Datenverstoß „im Wesentlichen“ abgeschlossen habe.
Der Ransomware-Angriff auf Change Healthcare, einen der größten Anbieter von Patientenabrechnungen in den Vereinigten Staaten, im Februar 2024 führte zu monatelangen Ausfällen, die die Versorgung im gesamten US-amerikanischen Gesundheitssystem beeinträchtigten. Der Datenverstoß wurde auch zum größten bekannten Diebstahl medizinischer Daten in der Geschichte der USA. Change Healthcare zahlte den Hackern ein Lösegeld mit dem Ziel, sie an der Veröffentlichung weiterer gestohlener Daten zu hindern, und erhielt im Gegenzug eine Kopie der gestohlenen Daten, um mit der Benachrichtigung der Personen zu beginnen, deren Informationen gestohlen wurden.
In einem Update zu seiner Benachrichtigung über Datenschutzverletzungen auf seiner Website Am Dienstag sagte Change Healthcare, es habe „seine betroffenen Kunden benachrichtigt“, für die das Unternehmen eine Postanschrift hinterlegt habe. Der Gesundheitsriese sagte, er verfüge „möglicherweise nicht über genügend Adressen für alle potenziell betroffenen Personen“ und die Mitteilung auf der Website ziele darauf ab, „Kunden und Einzelpersonen Informationen über den kriminellen Cyberangriff bereitzustellen“.
Wenn Sie jedoch im Internet nach der Datenschutzverletzungsmitteilung von Change Healthcare suchen, ist es unwahrscheinlich, dass Sie die Webseite in den Suchmaschinenergebnissen finden.
Die Überprüfung des Quellcodes der Webseite der Sicherheitsverletzungsmeldung durch Tech ergab, dass Change Healthcare einen versteckten „Noindex“-Code in die Meldung eingefügt hat, der Suchmaschinen anweist, die Webseite zu ignorieren, was es für jeden, der im Internet nach der Meldung sucht, schwieriger macht, sie bei der Suche zu finden Ergebnisse. Change Healthcare hatte seitdem den Code „noindex“ in seine Mitteilung über Datenschutzverletzungen aufgenommen mindestens 20. November 2024.
Es ist unklar, warum Change Healthcare die Seite vor Suchmaschinen versteckt hat. Der Sprecher von UnitedHealth, Tyler Mason, äußerte sich nicht zu dem Grund, warum Change Healthcare den Code eingefügt hat, um die Meldung über eine Datenschutzverletzung zu verbergen. Auf Nachfrage konnte der Sprecher keine konkrete Zahl der Personen nennen, die Change Healthcare über den Verstoß informiert hatte, über die geschätzte Zahl von 100 Millionen hinaus, die dem Gesundheitsministerium der US-Regierung im Oktober 2024 mitgeteilt wurde.
Ein Sprecher des Büros für Bürgerrechte des Ministeriums für Gesundheit und menschliche Dienste, das die bundesstaatlichen Untersuchungen von Datenschutzverstößen im Zusammenhang mit geschützten Gesundheitsinformationen überwacht, antwortete nicht auf eine Bitte um Stellungnahme zu dieser Angelegenheit.
Change Healthcare wurde dafür kritisiert, dass es die betroffenen Personen nur langsam über den Verstoß informierte – das Unternehmen begann damit erst vier Monate, nachdem es eine Kopie der gestohlenen Dateien erhalten hatte. Die Verzögerung der Veröffentlichung veranlasste mehrere US-Bundesstaaten, darunter Kalifornien, Massachusetts, Nebraska Und New Hampshireum einzugreifen, indem die Bewohner aufgefordert werden, nach der Datenschutzverletzung auf Identitätsdiebstahl und Betrug aufmerksam zu bleiben.
Im Dezember 2024 erhob Nebraska rechtliche Schritte gegen Change Healthcare wegen einer Reihe von Sicherheitsmängeln, die zu dem Verstoß führten. Der Generalstaatsanwalt des Staates, Mike Hilgers, sagte, dass die Bürger des Staates aufgrund der mangelnden angemessenen Benachrichtigung der betroffenen Personen durch Change Healthcare „anfälliger für die Ausbeutung sensibler persönlicher Finanz-, Gesundheits- und Identifikationsinformationen“ seien.