Um renomado escritório de advocacia internacional, especializado em lidar com empresas afetadas por incidentes de segurança, foi vítima de um ataque cibernético que expôs informações confidenciais de saúde de centenas de milhares de vítimas de violações de dados.
Orrick, Herrington & Sutcliffe, sediado em São Francisco, anunciou recentemente que hackers acessaram informações pessoais e dados confidenciais de saúde de mais de 637.000 vítimas durante uma intrusão em março de 2023, proveniente de um compartilhamento de arquivos em sua rede.
O escritório Orrick presta serviços a empresas atingidas por incidentes de segurança, auxiliando no cumprimento de requisitos regulamentares, como notificações às autoridades e indivíduos afetados. Em cartas de notificação enviadas às vítimas, a empresa detalhou que os hackers obtiveram dados de sistemas relacionados a incidentes de segurança em outras empresas, nas quais Orrick atuava como consultor jurídico.
A violação comprometeu dados de clientes do escritório, incluindo informações de beneficiários de planos de visão pela EyeMed Vision Care e planos odontológicos pela Delta Dental. Além disso, a violação afetou outras entidades, como a seguradora de saúde MultiPlan, a gigante de saúde comportamental Beacon Health Options (agora conhecida como Carelon) e a US Small Business Administration.
As informações roubadas englobam nomes, datas de nascimento, endereços, e-mails, números de identificação governamentais (como Social Security, passaporte e carteira de motorista), detalhes de tratamento médico, sinistros de seguros e números de seguros de saúde. Credenciais de contas online, números de cartões de crédito e débito também foram comprometidos.
Desde a divulgação inicial, o número de indivíduos afetados triplicou. O escritório Orrick expressou desculpas pelo incidente e mencionou um acordo de princípio para encerrar ações judiciais coletivas que alegavam atraso na notificação das vítimas da violação. Entretanto, o método utilizado pelos hackers para acessar inicialmente a rede Orrick e se um resgate foi exigido permanecem desconhecidos. O escritório não respondeu às perguntas do TechCrunch até o momento. Em dezembro, informou ao tribunal ter alcançado um acordo para resolver as ações judiciais, destacando o foco contínuo na proteção dos sistemas e informações.