Millionen von Amerikanern wurden ihre sensiblen medizinischen und Gesundheitsdaten gestohlen, nachdem Hacker eine Zero-Day-Schwachstelle in der weit verbreiteten Dateiübertragungssoftware MOVEit ausnutzten und Systeme des Technologieriesen IBM überfielen.
Das Colorado Department of Health Care Policy and Financing (HCPF), das für die Verwaltung des Colorado Medicaid-Programms verantwortlich ist, bestätigt gab am Freitag bekannt, dass es den MOVEit-Massenhacks zum Opfer gefallen sei und dabei die Daten von mehr als vier Millionen Patienten preisgegeben habe.
In einer Datenschutzverletzungsbenachrichtigung an die Betroffenen teilte die HCPF von Colorado mit, dass die Daten kompromittiert worden seien, weil IBM, einer der Anbieter des Bundesstaates, „die MOVEit-Anwendung verwendet, um HCPF-Datendateien im normalen Geschäftsverlauf zu verschieben“.
In dem Schreiben heißt es, dass von diesem Problem zwar keine HCPF- oder Colorado-Staatsregierungssysteme betroffen seien, „bestimmte HCPF-Dateien in der von IBM verwendeten MOVEit-Anwendung jedoch vom nicht autorisierten Akteur abgerufen wurden“.
Zu diesen Dateien gehören die vollständigen Namen der Patienten, Geburtsdaten, Wohnadressen, Sozialversicherungsnummern, Medicaid- und Medicare-ID-Nummern, Einkommensinformationen, klinische und medizinische Daten einschließlich Laborergebnisse und Medikamente sowie Informationen zur Krankenversicherung.
Laut HCPF sind etwa 4,1 Millionen Menschen betroffen.
IBM hat noch nicht öffentlich bestätigt, dass das Unternehmen von den MOVEit-Massenhacks betroffen war, und ein IBM-Sprecher antwortete nicht auf eine Bitte um Stellungnahme von Tech.
Der Verstoß gegen die MOVEit-Systeme von IBM wirkte sich auch auf das Department of Social Services (DSS) von Missouri aus, die Anzahl der betroffenen Personen ist jedoch noch nicht bekannt. Im Bundesstaat Missouri leben mehr als sechs Millionen Menschen.
In einem Benachrichtigung über Datenschutzverletzungen Das DSS von Missouri veröffentlichte letzte Woche: „IBM ist ein Anbieter, der Dienstleistungen für DSS erbringt, die staatliche Behörde, die berechtigten Einwohnern Missouris Medicaid-Dienste anbietet.“ Die Datenschwachstelle hatte keine direkten Auswirkungen auf DSS-Systeme, sondern auf Daten, die zu DSS gehören.“
DSS sagt, dass die abgerufenen Daten den Namen einer Person, die Kundennummer der Abteilung, das Geburtsdatum, den Status einer möglichen Leistungsberechtigung oder des Versicherungsschutzes sowie Informationen zu medizinischen Ansprüchen umfassen können.
Weder Colorados HCPF noch Missouris DSS wurden auf der Dark-Web-Leak-Site der Clop-Ransomware-Bande aufgeführt, die die Verantwortung für die Massen-Hackangriffe übernommen hat. In einer Nachricht auf der Website behauptet die Russia-Link-Gruppe: „Wir haben keine Regierungsdaten.“
Die Nachricht über den jüngsten Verstoß in Colorado kommt nur wenige Tage, nachdem das Colorado Department of Higher Education mitteilte, dass es einen Ransomware-Vorfall gegeben habe, bei dem Hacker auf Daten aus 16 Jahren zugegriffen und diese von seinen Systemen kopiert hätten. Die Colorado State University bestätigte letzten Monat außerdem, dass sie einen Datenverstoß im Zusammenhang mit MOVEit erlitten hatte, der Zehntausende Studenten und akademisches Personal betraf.
Unterdessen bestätigte PH Tech, ein Unternehmen, das Datenverwaltungsdienste für US-amerikanische Krankenversicherungen anbietet, dass es ebenfalls von den MOVEit-Hacks betroffen war, die sich auf die Gesundheitsinformationen von 1,7 Millionen Einwohnern Oregons auswirkten.
Der bisher größte Verstoß gegen einen US-amerikanischen Gesundheitsdienstleister in diesem Jahr geht an HCA Healthcare, bei dem die Namen, Adressen und Termindaten von 11,2 Millionen Menschen in einen Sicherheitsverstoß verwickelt wurden, der nichts mit MOVEit zu tun hat.