Un bufete de abogados internacional que trabaja con empresas afectadas por incidentes de seguridad ha experimentado su propio ciberataque que expuso la información de salud sensible de cientos de miles de víctimas de violación de datos.
Orrick, Herrington & Sutcliffe, con sede en San Francisco, dijo la semana pasada que los piratas informáticos robaron información personal y datos de salud confidenciales de más de 637.000 víctimas de violación de datos de un archivo compartido en su red durante una intrusión en marzo de 2023.
Orrick trabaja con empresas que se ven afectadas por incidentes de seguridad, incluidas violaciones de datos, para manejar los requisitos regulatorios, como la obtención de información de las víctimas para notificar a las autoridades estatales y a las personas afectadas.
En una serie de cartas de notificación de violación de datos enviadas a las personas afectadas, Orrick dijo que los piratas informáticos robaron una gran cantidad de datos de sus sistemas relacionados con incidentes de seguridad en otras empresas, durante los cuales Orrick se desempeñó como asesor legal.
Orrick dijo que la violación de sus sistemas involucró los datos de sus clientes, incluidas personas que tenían planes de visión con el gigante de seguros EyeMed Vision Care y aquellos que tenían planes dentales con Delta Dental, un gigante de la red de seguros de salud que brinda cobertura dental a millones de estadounidenses. Orrick también dijo que notificó a la compañía de seguros de salud MultiPlan, al gigante de la salud conductual Beacon Health Options (ahora conocido como Carelon) y a la Administración de Pequeñas Empresas de EE. UU. que sus datos también se vieron comprometidos en la violación de datos de Orrick.
Orrick dijo que los datos robados incluyen nombres de consumidores, fechas de nacimiento, direcciones postales y de correo electrónico, y números de identificación emitidos por el gobierno, como números de Seguro Social, números de pasaporte y licencia de conducir, y números de identificación fiscal. Los datos también incluyen información sobre diagnóstico y tratamiento médico, información sobre reclamaciones de seguros (como la fecha y los costos de los servicios) y números de seguro médico y detalles del proveedor.
Orrick dijo que la infracción incluye credenciales de cuentas en línea y números de tarjetas de crédito o débito.
El número de personas que se sabe que se vieron afectadas por esta violación de datos se ha triplicado desde que Orrick reveló el incidente por primera vez. Orrick dijo en su aviso de violación de datos más reciente que “no prevé proporcionar notificaciones en nombre de empresas adicionales”, pero no dijo cómo llegó a esta conclusión.
No está claro cómo los piratas informáticos irrumpieron inicialmente en la red de Orrick, o si exigieron un rescate financiero al bufete de abogados.
Orrick no respondió a las preguntas de TechCrunch sobre el incidente. La portavoz de Orrick, Jolie Goldstein, dijo en un comunicado: “Lamentamos las molestias y la distracción que causó este incidente malicioso. Nuestra prioridad fue resolverlo lo más rápido posible para nuestros clientes, las personas cuyos datos se vieron afectados y nuestro equipo”.
En diciembre, Orrick dijo a un tribunal federal de San Francisco que había llegado a un acuerdo de principio para resolver cuatro demandas colectivas, en las que se acusaba a Orrick de no informar a las víctimas de la infracción hasta meses después del incidente.
«Nos complace llegar a un acuerdo dentro de un año del incidente, lo que pone fin a este asunto, y continuaremos centrándonos en proteger nuestros sistemas y la información de nuestros clientes y nuestra empresa», añadió el portavoz de Orrick.