Einer der größten Apothekendienstleister in den USA hat bestätigt, dass Hacker auf die persönlichen Daten von fast sechs Millionen Patienten zugegriffen haben.
PharMerica betreibt über 2.500 Einrichtungen in den USA und bietet mehr als 3.100 Apotheken- und Gesundheitsprogramme an.
In eine Benachrichtigung über eine Datenschutzverletzung PharMerica, das beim Generalstaatsanwalt von Maine eingereicht wurde, gab an, am 14. März von verdächtigen Aktivitäten in seinem Computernetzwerk erfahren zu haben. Eine interne Untersuchung ergab, dass ein „unbekannter Dritter“ Tage zuvor auf seine Systeme zugegriffen und die persönlichen Daten von 5,8 Millionen aktuellen und verstorbenen Personen gestohlen hatte. darunter 35.000 Patienten mit Sitz in Maine.
In einem Brief an betroffene Patienten sagte das in Kentucky ansässige Unternehmen, Hacker hätten Namen, Geburtsdaten, Sozialversicherungsnummern, Medikamente und Krankenversicherungsinformationen von Patienten erhalten.
Aber Proben der durchgesickerten Daten, die Tech eingesehen hat, deuten darauf hin, dass die Hacker auch die geschützten Gesundheitsinformationen von mindestens 100 Patienten gestohlen haben, darunter Allergieinformationen, Medicare-Nummern und detaillierte Diagnosen, einschließlich Details zu Alkohol-, Drogen- und psychischen Erkrankungen.
Diese gestohlenen Daten wurden auf der Dark-Web-Leak-Site der Money Message-Ransomware-Gang veröffentlicht, einer zunächst relativ neuen Operation im März beobachtet, die den Cyberangriff für sich beanspruchte. Money Message behauptet, insgesamt 4,7 Terabyte an Daten von PharMerica und seiner Muttergesellschaft BrightSpring Health, einem häuslichen und kommunalen Gesundheitsdienstleister, gestohlen zu haben.
Dieselbe Ransomware-Bande übernahm die Verantwortung für den Cyberangriff auf den taiwanesischen Hardwarehersteller Micro-Star International, bekannt als MSI, bei dem Unmengen an Daten, darunter auch die des Unternehmens, kompromittiert wurden private Codesignaturschlüssel.
Weder PharMerica noch BrightSpring Health haben bestätigt, dass es sich bei dem Vorfall um Ransomware handelte, und Leigh White, Sprecher von BrightSpring Health, antwortete nicht auf die Fragen von Tech.
In einem Stellungnahme PharMerica gab auf seiner Website bekannt, dass es zusätzliche Schritte ergreift, um die Wahrscheinlichkeit zu verringern, dass ein ähnliches Ereignis in der Zukunft eintritt, hat jedoch nicht näher erläutert, um welche Schritte es sich dabei handelt.
Mit fast sechs Millionen betroffenen Patienten ist der PharMerica-Vorfall der bisher größte Verstoß gegen Gesundheitsdaten in diesem Jahr. Der zweitgrößte Verstoß betrifft das südkalifornische Medizinunternehmen Regal Medical Group, das im Januar bestätigte, dass auf die Daten von mehr als 3,3 Millionen Patienten zugegriffen wurde.
Das Telemedizin-Startup Cerebral, das den drittgrößten Verstoß erlitt, bestätigte im März, dass private Gesundheitsinformationen, einschließlich Bewertungen der psychischen Gesundheit, von mehr als 3,1 Millionen Patienten in den Vereinigten Staaten an Werbetreibende und Social-Media-Giganten weitergegeben wurden.