La organización estadounidense de gestión de la atención sanitaria, Gryphon Healthcare, sufrió recientemente un ciberataque a su cadena de suministro, en el que se robaron datos confidenciales de cientos de miles de pacientes.
La compañía confirmó la noticia en un aviso de incumplimiento presentado ante la Oficina del Fiscal General de Maine, indicando que un socio corporativo para quien Gryphon brinda servicios de facturación médica violó en algún momento antes del 13 de agosto de 2024.
La compañía no nombró al socio pirateado, pero la violación parece haber dado a los atacantes acceso a información de salud personal y protegida en poder de Gryphon.
No hay evidencia de abuso
“Como resultado de este incidente de seguridad de terceros, un actor no autorizado puede haber accedido a ciertos archivos y datos que contienen información relacionada con los pacientes a quienes Gryphon brinda servicios de facturación médica”, dijo la compañía en el documento.
“La información puede haber incluido su nombre, fecha de nacimiento, dirección, número de Seguro Social, fechas de servicio, información de diagnóstico, información de seguro médico, información de tratamiento médico, información de recetas, información de proveedor y número de registro médico”, continuó la presentación.
Los datos robados son más que suficientes para llevar a cabo ataques de phishing muy sofisticados. robo de identidad operaciones, o incluso fraude electrónico. Griffon dijo que el número total de personas afectadas por este incidente fue de 393.358 y añadió que no había visto ninguna evidencia que sugiriera que se estuviera haciendo un mal uso de los datos. Hasta el momento, ningún actor amenazador ha asumido la responsabilidad del ataque.
Debido a la sensibilidad de la información que manejan, las organizaciones sanitarias son uno de los objetivos más comunes de los atacantes de ransomware. Estos actores de amenazas roban información y luego amenazan con hacerla pública a menos que se realice el pago. La filtración de datos de pacientes podría provocar pérdidas de negocios, daños a la reputación, multas de los reguladores e incluso demandas colectivas.
En realidad, Registro Los informes indican que Abington Coal and Ellery, con sede en Tulsa y Oklahoma, ya han comenzado a presentar apelaciones para las víctimas del problema de la protección de datos, y esta no es la única demanda colectiva contra empresas de atención médica pirateadas con la que está lidiando actualmente.