Hacker haben auf die persönlichen Daten von mehr als einer Million Menschen zugegriffen, indem sie eine Sicherheitslücke in einem Dateiübertragungstool von Welltok, der Gesundheitsplattform von Virgin Pulse, ausgenutzt haben.
Welltok, ein in Denver ansässiges Patientenengagement-Unternehmen, das mit Gesundheitsplänen zusammenarbeitet, um Abonnenten über ihre Gesundheitsversorgung zu informieren, bestätigte in einem Benachrichtigung über Datenschutzverletzungen Letzte Woche reichte ein Bericht beim Generalstaatsanwalt von Maine ein, dass Hacker auf die sensiblen Daten von mehr als 1,6 Millionen Personen zugegriffen hätten.
In einem Brief an die Betroffenen sagte Welltok, man sei auf eine frühere mutmaßliche Kompromittierung seines MOVEit Transfer-Servers aufmerksam gemacht worden, einem System, das es Organisationen ermöglicht, große Mengen oft sensibler Daten über das Internet zu übertragen, nachdem der Entwickler des Systems Einzelheiten zu einem veröffentlicht hatte Software-Sicherheitslücke Anfang dieses Jahres. Welltok sagte, es habe im Juli zunächst festgestellt, dass es keine Anzeichen für einen Kompromiss gebe. Eine zweite Untersuchung, die das Unternehmen im August eingeleitet hatte, ergab, dass Hacker „bestimmte Daten“ vom MOVEit Transfer-Server von Welltok exfiltriert hatten.
Zu den kompromittierten Daten gehören dem Schreiben zufolge der Name, das Geburtsdatum, die Adressen und Gesundheitsinformationen von Personen.
In einem Bekanntmachung auf seiner Website veröffentlicht Welltok wurde erstmals Ende Oktober veröffentlicht und sagte, dass Hacker auch auf Sozialversicherungsnummern, Medicare- und Medicaid-ID-Nummern sowie Krankenversicherungsinformationen einiger Patienten zugegriffen hätten.
Tech hat herausgefunden, dass die Datenschutzverletzungs-Website von Welltok „noindex“-Code enthält, der Suchmaschinen anweist, die Webseite zu ignorieren, wodurch es für betroffene Kunden effektiv schwieriger wird, die Erklärung durch Suchen zu finden. Es ist nicht klar, aus welchem Grund Welltok seine Benachrichtigung über Datenschutzverletzungen vor Suchmaschinen versteckt hat.
Welltok sagte, dass sich der Verstoß auf die Gruppengesundheitspläne von Stanford Health Care, Lucile Packard Children’s Hospital Stanford, Stanford Health Care Tri-Valley, Stanford Medicine Partners und Packard Children’s Health Alliance auswirkte, die Welltok am 18. Oktober mitgeteilt hatte.
Es scheint jedoch, dass der Welltok-Verstoß mehr Gesundheitsdienstleister – und mehr Einzelpersonen – betreffen könnte, als in der Offenlegung von Welltok gegenüber dem Generalstaatsanwalt von Maine angegeben.
Corewell Health, ein Anbieter von Gesundheitsdienstleistungen im Südosten von Michigan, der Welltok für die Patientenkommunikation nutzt, sagte in einem Pressemitteilung Letzte Woche gab das Unternehmen bekannt, dass die Gesundheitsdaten von etwa einer Million Patienten sowie etwa 2.500 Priority Health-Mitgliedern durch den Verstoß von Welltok kompromittiert wurden.
Auch Sutter Health, ein gemeinnütziger Gesundheitsdienstleister mit Hauptsitz in Sacramento bestätigt dass mehr als 840.000 seiner Patienten von der Welltok-Sicherheitsverletzung betroffen waren.
St. Bernards, ein in Arkansas ansässiger Gesundheitsdienstleister, der eine Plattform zur Verwaltung von Patientenkontakten von Welltok nutzt, sei ebenfalls betroffen, teilte das Unternehmen in einem mit Stellungnahme. In einem (n frühere Einreichung Zusammen mit dem Generalstaatsanwalt von Maine bestätigte Welltok, dass der Verstoß fast 90.000 St. Bernards-Patienten betraf.
Die Verstoßmeldungen für Corewell, Sutter und St. Bernards betreffen etwa 1,9 Millionen Patienten, weit mehr als die Zahl der betroffenen Patienten, die Welltok bekannt gab.
Tech hat Welltok um einen Kommentar gebeten, zum Zeitpunkt der Veröffentlichung jedoch keine Antwort erhalten.
Entsprechend Forscher des Cybersicherheitsunternehmens EmsisoftDie MOVEit-Massenhacks – allein aufgrund der Anzahl der betroffenen Personen gelten sie als der größte Hacker-Vorfall des Jahres – haben bisher mehr als 2.600 Organisationen betroffen, von denen die meisten ihren Sitz in den Vereinigten Staaten haben.
Emsisoft schätzt, dass bisher über 77 Millionen Menschen von den Cyberangriffen betroffen waren, die von der berüchtigten Ransomware-Bande Clop behauptet werden. Es wird erwartet, dass die tatsächliche Zahl der betroffenen Personen deutlich höher sein wird, da sich immer mehr Organisationen melden.