Mais de 100 milhões de pessoas tiveram informações privadas de saúde roubadas durante o ataque de ransomware à Change Healthcare em fevereiro, um ataque cibernético que causou meses de interrupções sem precedentes e perturbações generalizadas em todo o setor de saúde dos EUA.
Esta é a primeira vez que o UnitedHealth Group, a seguradora de saúde dos EUA proprietária da empresa de tecnologia de saúde, submete vários indivíduos afetados à violação de dados, depois de ter dito anteriormente que previa que a violação incluiria dados sobre uma “proporção substancial de pessoas”. na América.”
O Departamento de Saúde e Serviços Humanos dos EUA relatou pela primeira vez o número atualizado em seu portal de violação de dados na quinta-feira.
Tyler Mason, porta-voz da UHG, não respondeu imediatamente a um pedido de comentário.
O ataque de ransomware e a violação de dados na Change Healthcare são o maior roubo digital conhecido de registros médicos dos EUA e uma das maiores violações de dados da história viva. As consequências para os milhões de americanos cujas informações médicas privadas foram irremediavelmente roubadas provavelmente durarão a vida toda.
O UHG começou a notificar os indivíduos afetados no final de julho, o que continuou até outubro.
Os dados pessoais roubados variam de indivíduo para indivíduo, mas Change confirmou anteriormente que incluem informações pessoais, como nomes e endereços, datas de nascimento, números de telefone e endereços de e-mail, e documentos de identidade governamentais, incluindo números de Seguro Social, carteiras de motorista e números de passaporte. Os dados de saúde roubados incluem diagnósticos, medicamentos, resultados de exames, imagens, planos de cuidados e tratamento e informações de seguros de saúde – bem como informações financeiras e bancárias encontradas em sinistros e dados de pagamento obtidos pelos criminosos.
A Change Healthcare é uma das maiores gestoras de dados de saúde, médicos e registos de pacientes, uma vez que processa seguros e faturas de pacientes em todo o setor de saúde dos EUA, incluindo milhares de hospitais, farmácias e consultórios médicos. Como tal, a Change lida com enormes quantidades de informações médicas e de saúde de cerca de um terço de todos os americanos, disse o presidente-executivo da empresa, Andrew Witty, aos legisladores em maio.
O ataque cibernético tornou-se público em 21 de fevereiro, quando a Change Healthcare colocou grande parte da sua rede off-line para conter os invasores, causando interrupções imediatas em todo o setor de saúde dos EUA, que dependia da Change para lidar com seguros e cobranças de pacientes.
A UHG atribuiu o ataque cibernético à ALPHV/BlackCat, uma gangue de ransomware e extorsão de língua russa, que mais tarde assumiu o crédito pelo ataque cibernético.
Os líderes da gangue de ransomware desapareceram mais tarde após fugirem com um resgate de US$ 22 milhões pago pela gigante dos seguros de saúde, prejudicando os empreiteiros do grupo que realizaram o hacking da Change Healthcare com seus novos lucros financeiros inesperados. Os empreiteiros pegaram os dados que roubaram da Change Healthcare e formaram um novo grupo, que extorquiu um segundo resgate do UHG, enquanto publicavam uma parte dos arquivos roubados online no processo para provar sua ameaça.
Não há evidências de que os cibercriminosos tenham posteriormente excluído os dados. Foi demonstrado que outras gangues de extorsão, incluindo a LockBit, acumulam dados roubados, mesmo depois que a vítima paga e os criminosos alegam ter excluído os dados.
Ao pagar o resgate, a Change obteve uma cópia do conjunto de dados roubado, permitindo à empresa identificar e notificar os indivíduos afetados cujas informações foram encontradas nos dados.
Os esforços do governo dos EUA para capturar os hackers por trás do ALPHV/BlackCat, uma das gangues de ransomware mais prolíficas da atualidade, falharam até agora. A gangue se recuperou após uma operação de remoção em 2023 para apreender o site de vazamento da dark web da gangue.
Meses após a violação da Change Healthcare, o Departamento de Estado dos EUA aumentou a sua recompensa por informações sobre o paradeiro dos cibercriminosos ALPHV/BlackCat para 10 milhões de dólares.
Consolidação corporativa e falta de segurança são responsabilizadas pela violação de dados
Partes da rede da Change Healthcare permanecem offline enquanto a empresa continua a se recuperar do ataque cibernético de fevereiro. Os legisladores também estão investigando a violação e o efeito sobre os milhões de americanos cujos dados de saúde foram irreversivelmente roubados.
Durante uma audiência na Câmara sobre o ataque cibernético em abril, o CEO da UnitedHealth, Witty, confirmou que os cibercriminosos invadiram um dos sistemas de seus funcionários usando credenciais roubadas que não foram protegidas com autenticação multifator (MFA), um recurso de segurança que pode ajudar a proteger contra o ataque cibernético. uso indevido de roubo de senha.
Ao obter acesso a um sistema interno crítico usando apenas uma senha roubada, a gangue de ransomware conseguiu alcançar outras partes da rede da Change Healthcare e implantar o ransomware.
Não está claro por que o sistema não foi protegido com MFA, mas isto provavelmente continuará a ser uma parte fundamental das investigações em curso por parte dos legisladores e do governo. Witty disse aos legisladores que a organização implementou e agora aplica o MFA após o ataque cibernético.
Os legisladores concentraram-se na forma como o UHG lida com tantos dados e gera tantas receitas, e falharam na segurança cibernética básica.
De acordo com seu relatório de lucros anuais de 2023, a UHG obteve US$ 22 bilhões em lucro sobre receitas de US$ 371 bilhões. O CEO da UHG, Witty, ganhou US$ 23,5 milhões em remuneração executiva no mesmo ano.
Embora a falta de MFA tenha sido abusada neste caso, o tamanho e a riqueza dos dados altamente sensíveis que a Change Healthcare recolhe e armazena tornaram-na num alvo por si só, disseram os legisladores.
A Change Healthcare se fundiu com o provedor de saúde norte-americano Optum em 2022 como parte de um acordo de US$ 7,8 bilhões do UnitedHealth Group. O acordo uniu os dois gigantes da saúde ao UHG e permitiu à Optum, que possui grupos de médicos e fornece tecnologia e dados para seguradoras e serviços de saúde, amplo acesso aos registros de pacientes administrados pela Change.
O UnitedHealth Group fornece coletivamente planos de benefícios a mais de 53 milhões de clientes nos EUA e outros cinco milhões fora dos Estados Unidos, de acordo com seu último relatório de lucros anuais. A Optum atende cerca de 103 milhões de clientes nos EUA.
O acordo enfrentou o escrutínio das autoridades antitruste federais dos EUA, que entraram com uma ação para impedir a UHG de comprar a Change Healthcare e fundi-la com a Optum, argumentando que a UnitedHealth obteria uma vantagem competitiva injusta ao obter acesso a “cerca de metade de todos os pedidos de seguro de saúde dos americanos. ano.” Um juiz finalmente aprovou o acordo.
O Departamento de Justiça supostamente começou a investigar o UHG e suas possíveis práticas anticompetitivas nos meses anteriores ao hack da Change Healthcare.
Leia mais:
Notícias de Tecnologia:
Como ocorreu o ataque de ransomware na Change Healthcare: uma linha do tempo
Uber pagará recorde de US$ 148 milhões por violação de dados em 2016
A violação da fidelidade expôs os dados pessoais de 77.000 clientes – o que fazer se você for afetado
Cada startup de fusão que arrecadou mais de US$ 100 milhões
Tinder, Pinterest e outros lutam para determinar como o hack do Facebook afeta seus usuários
O tablet Samsung que recomendo para a maioria das pessoas não é um carro-chefe – e tem um desconto de US $ 100