Eine internationale Anwaltskanzlei, die mit Unternehmen zusammenarbeitet, die von Sicherheitsvorfällen betroffen sind, hat einen eigenen Cyberangriff erlebt, bei dem sensible Gesundheitsdaten von Hunderttausenden Opfern von Datenschutzverletzungen offengelegt wurden.
Das in San Francisco ansässige Unternehmen Orrick, Herrington & Sutcliffe sagte letzte Woche, dass Hacker persönliche Informationen und sensible Gesundheitsdaten von gestohlen haben mehr als 637.000 Opfer von Datenschutzverletzungen von einer Dateifreigabe in seinem Netzwerk während eines Einbruchs im März 2023.
Orrick arbeitet mit Unternehmen zusammen, die von Sicherheitsvorfällen, einschließlich Datenschutzverletzungen, betroffen sind, um behördliche Anforderungen zu erfüllen, beispielsweise um die Informationen der Opfer einzuholen, um staatliche Behörden und die betroffenen Personen zu benachrichtigen.
In einer Reihe von Benachrichtigungsschreiben zu Datenschutzverletzungen, die an betroffene Personen gesendet wurden, sagte Orrick, die Hacker hätten Unmengen von Daten aus seinen Systemen gestohlen, die sich auf Sicherheitsvorfälle bei anderen Unternehmen beziehen, bei denen Orrick als Rechtsberater fungierte.
Orrick sagte, dass der Verstoß gegen seine Systeme die Daten seiner Kunden betraf, darunter Personen, die Sehkraftversicherungspläne beim Versicherungsriesen EyeMed Vision Care hatten, und solche, die Zahnversicherungsverträge mit Delta Dental hatten, einem Krankenversicherungsnetzwerkriesen, der Millionen von Amerikanern zahnärztlichen Versicherungsschutz bietet. Orrick sagte außerdem, es habe die Krankenversicherungsgesellschaft MultiPlan, den Verhaltensgesundheitsriesen Beacon Health Options (jetzt bekannt als Carelon) und die US Small Business Administration darüber informiert, dass ihre Daten durch Orricks Datenschutzverletzung ebenfalls kompromittiert wurden.
Orrick sagte, dass zu den gestohlenen Daten Verbrauchernamen, Geburtsdaten, Postanschriften und E-Mail-Adressen sowie von der Regierung ausgestellte Identifikationsnummern wie Sozialversicherungsnummern, Pass- und Führerscheinnummern sowie Steueridentifikationsnummern gehören. Zu den Daten gehören auch medizinische Behandlungs- und Diagnoseinformationen, Informationen zu Versicherungsansprüchen – wie Datum und Kosten der Leistungen – sowie Krankenversicherungsnummern und Anbieterdetails.
Orrick sagte, dass der Verstoß umfasst Online-Kontodaten und Kredit- oder Debitkartennummern.
Die Zahl der Personen, die bekanntermaßen von dieser Datenschutzverletzung betroffen sind, hat sich seit der ersten Offenlegung des Vorfalls durch Orrick verdreifacht. Orrick sagte in seiner jüngsten Meldung über Datenschutzverletzungen, dass es „nicht vorhabe, Benachrichtigungen im Namen weiterer Unternehmen bereitzustellen“, sagte jedoch nicht, wie es zu dieser Schlussfolgerung gekommen sei.
Es ist nicht klar, wie die Hacker zunächst in Orricks Netzwerk eindrangen oder ob die Hacker von der Anwaltskanzlei ein Lösegeld forderten.
Orrick beantwortete die Fragen von Tech zu dem Vorfall nicht. Orrick-Sprecherin Jolie Goldstein sagte in einer Erklärung: „Wir bedauern die Unannehmlichkeiten und Ablenkungen, die dieser böswillige Vorfall verursacht hat. Wir haben es uns zur Priorität gemacht, das Problem für unsere Kunden, die Personen, deren Daten betroffen waren, und unser Team so schnell wie möglich zu lösen.“
Im Dezember, Orrick sagte ein Bundesgericht in San Francisco dass es eine grundsätzliche Einigung zur Beilegung von vier Sammelklagen erzielt hatte, in denen Orrick vorgeworfen wurde, die Opfer erst Monate nach dem Vorfall über den Verstoß informiert zu haben.
„Wir freuen uns, innerhalb eines Jahres nach dem Vorfall eine Einigung erzielen zu können, die diese Angelegenheit zu einem Abschluss bringt, und werden uns weiterhin auf den Schutz unserer Systeme und der Informationen unserer Kunden und unseres Unternehmens konzentrieren“, fügte der Sprecher von Orrick hinzu.