A plataforma de saúde Welltok, pertencente à Virgin Pulse, confirmou que dados pessoais de mais de 8 milhões de pessoas foram comprometidos por hackers que exploraram uma vulnerabilidade no servidor MOVEit Transfer, utilizado para transferência de arquivos. A Welltok, com sede em Denver, é uma empresa de engajamento de pacientes que colabora com planos de saúde para fornecer informações sobre cuidados de saúde aos assinantes.
A violação foi inicialmente anunciada pela Welltok no final de outubro, por meio de um aviso em seu site. O TechCrunch descobriu que o aviso continha código “noindex”, dificultando a localização pelos usuários afetados através de mecanismos de pesquisa. A razão para essa medida não foi esclarecida.
Embora a notificação ao procurador-geral do Maine indicasse que mais de 1,6 milhão de indivíduos foram afetados, outros provedores de cuidados de saúde parceiros da Welltok confirmaram que também foram impactados, sugerindo um número maior de pessoas afetadas do que o inicialmente divulgado.
Uma atualização do portal de violação do Departamento de Saúde e Serviços Humanos dos EUA confirmou que a violação afetou mais de 8 milhões de indivíduos, tornando-se a segunda maior violação no MOVEit, atrás apenas da violação do contratante do governo dos EUA, Maximus, que impactou 11 milhões de indivíduos.
Os dados comprometidos incluem nomes, datas de nascimento, endereços, números de Seguro Social, informações de saúde, números de identificação do Medicare e Medicaid, e informações de seguro saúde.
A lista completa de prestadores de cuidados de saúde afetados ainda não foi divulgada. Algumas entidades, como a Corewell Health e a Sutter Health, confirmaram que foram impactadas, enquanto a Emsisoft, empresa de segurança cibernética, estima que mais de 82 milhões de pessoas foram afetadas pelos ataques, atribuídos à gangue de ransomware Clop. A verdadeira extensão do incidente pode ser ainda maior à medida que mais organizações relatam suas exposições. O Welltok não respondeu aos pedidos de comentários até o momento da publicação.
Os ataques ao MOVEit já impactaram mais de 2.600 organizações, principalmente nos Estados Unidos, e a Clop reivindicou a autoria desses ataques massivos. A situação ressalta a vulnerabilidade crescente das organizações de saúde a violações de dados significativas.