A millones de estadounidenses les robaron su información médica y de salud confidencial después de que los piratas informáticos aprovecharon una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit, ampliamente utilizado, y asaltaron los sistemas operados por el gigante tecnológico IBM.
El Departamento de Políticas y Financiamiento de Atención Médica de Colorado (HCPF), que es responsable de administrar el programa Medicaid de Colorado, confirmó el viernes que había sido víctima de los hackeos masivos de MOVEit, exponiendo los datos de más de 4 millones de pacientes.
En una notificación de violación de datos a los afectados, HCPF de Colorado dijo que los datos se vieron comprometidos porque IBM, uno de los proveedores del estado, «usa la aplicación MOVEit para mover archivos de datos de HCPF en el curso normal de los negocios».
La carta establece que, si bien ningún sistema de HCPF o del gobierno del estado de Colorado se vio afectado por este problema, «el actor no autorizado accedió a ciertos archivos HCPF en la aplicación MOVEit utilizada por IBM».
Estos archivos incluyen los nombres completos de los pacientes, fechas de nacimiento, domicilios particulares, números de Seguro Social, números de identificación de Medicaid y Medicare, información de ingresos, datos clínicos y médicos (incluidos resultados de laboratorio y medicamentos) e información del seguro médico.
HCPF dice que alrededor de 4,1 millones de personas están afectadas.
IBM aún tiene que confirmar públicamente que se vio afectada por los hackeos masivos de MOVEit, y un portavoz de IBM no respondió a una solicitud de comentarios de TechCrunch.
La violación de los sistemas MOVEit de IBM también afectó al Departamento de Servicios Sociales (DSS) de Missouri, aunque aún se desconoce el número de personas afectadas. Más de 6 millones de personas viven en el estado de Missouri.
En una notificación de violación de datos publicada la semana pasada, el DSS de Missouri dijo: “IBM es un proveedor que brinda servicios al DSS, la agencia estatal que brinda servicios de Medicaid a los residentes de Missouri elegibles. La vulnerabilidad de los datos no afectó directamente a ningún sistema DSS, pero sí a los datos pertenecientes a DSS”.
El DSS dice que los datos a los que se accede pueden incluir el nombre de una persona, el número de cliente del departamento, la fecha de nacimiento, el estado o cobertura de elegibilidad de beneficios posibles e información de reclamaciones médicas.
Ni el HCPF de Colorado ni el DSS de Missouri se han incluido en el sitio de filtraciones de la web oscura de la banda de ransomware Clop, que se ha adjudicado la responsabilidad de los ataques masivos. En un mensaje en el sitio, el grupo vinculado a Rusia afirma: “No tenemos ningún dato del gobierno”.
La noticia de la última brecha de seguridad de Colorado se produce pocos días después de que el Departamento de Educación Superior de Colorado dijera que había experimentado un incidente de ransomware en el que los piratas informáticos accedieron y copiaron datos de 16 años de sus sistemas. La Universidad Estatal de Colorado también confirmó el mes pasado que había sufrido una filtración de datos relacionada con MOVEit que afectó a decenas de miles de estudiantes y personal académico.
Mientras tanto, PH Tech, una empresa que brinda servicios de administración de datos a las aseguradoras de atención médica de EE. UU., confirmó que también se vio afectada por los ataques de MOVEit, que afectaron la información de salud de 1,7 millones de residentes de Oregón.
La filtración más grande de un proveedor de atención médica de EE. UU. en lo que va del año fue para HCA Healthcare, que involucró los nombres, direcciones y detalles de citas de 11,2 millones de personas en un lapso de seguridad no relacionado con MOVEit.