Dữ liệu sức khỏe của hàng triệu người Mỹ bị đánh cắp khi tin tặc MOVEit nhắm vào IBM
An toàn thông tin - Ngày đăng : 11:54, 16/08/2023
Dữ liệu sức khỏe của hàng triệu người Mỹ bị đánh cắp khi tin tặc MOVEit nhắm vào IBM
Hàng triệu người Mỹ đã bị đánh cắp thông tin y tế và sức khỏe nhạy cảm sau khi tin tặc khai thác lỗ hổng zero-day trong phần mềm truyền tải tệp tin MOVEit để tấn công các hệ thống do gã khổng lồ công nghệ IBM vận hành.
Bộ Tài chính và Bảo hiểm y tế (HCPF) Colorado, cơ quan chịu trách nhiệm thực hiện chương trình Medicaid (chương trình bảo hiểm chăm sóc sức khỏe cho người có thu nhập thấp) của Colorado xác nhận rằng họ đã trở thành nạn nhân của hàng loạt vụ tấn công MOVEit, làm lộ dữ liệu của hơn 4 triệu bệnh nhân.
Trong một thông báo vi phạm dữ liệu cho những người bị ảnh hưởng, HCPF Colorado cho biết, dữ liệu đã bị xâm phạm là do IBM, một trong những nhà cung cấp của bang sử dụng ứng dụng MOVEit để di chuyển các tệp dữ liệu HCPF trong suốt quá trình kinh doanh thông thường.
Mặc dù không có hệ thống HCPF hoặc chính quyền bang Colorado nào bị ảnh hưởng bởi sự cố này, nhưng một số tệp HCPF trên ứng dụng MOVEit do IBM sử dụng đã bị tác nhân trái phép truy nhập.
Những tệp này bao gồm tên đầy đủ của bệnh nhân, ngày sinh, địa chỉ nhà, số an sinh xã hội, số ID Medicaid và Medicare, thông tin thu nhập, dữ liệu lâm sàng và y tế (bao gồm kết quả xét nghiệm và thuốc) và thông tin bảo hiểm y tế.
HCPF cho biết, khoảng 4,1 triệu cá nhân bị xâm phạm. Tuy nhiên, IBM vẫn chưa có phản hồi công khai về việc họ bị ảnh hưởng bởi các vụ tấn công MOVEit.
Việc xâm phạm các hệ thống MOVEit của IBM cũng ảnh hưởng đến Cục các dịch vụ xã hội (DSS) của Missouri. Mặc dù vẫn chưa xác định được số lượng cá nhân bị ảnh hưởng, nhưng hiện có hơn 6 triệu người đang sống ở bang Missouri.
DSS của Missouri cho biết: “IBM là nhà cung cấp dịch vụ cho DSS, cơ quan nhà nước cung cấp dịch vụ Medicaid cho những người dân Missouri đủ điều kiện. Lỗ hổng dữ liệu không ảnh hưởng trực tiếp đến bất kỳ hệ thống DSS nào nhưng ảnh hưởng đến dữ liệu thuộc về DSS".
DSS cho biết, dữ liệu bị xâm phạm có thể bao gồm tên cá nhân, số khách hàng của bộ phận, ngày sinh, tình trạng đủ điều kiện hưởng lợi hoặc phạm vi bảo hiểm và thông tin y tế.
Cả HCPF của Colorado và DSS của Missouri đều không được liệt kê trên web đen rò rỉ dữ liệu của nhóm ransomware Clop, nhóm đã nhận trách nhiệm về hàng loạt các vụ tấn công. Trong một thông báo trên trang web, nhóm tin tặc liên kết với nhà nước tuyên bố: “Chúng tôi không có bất kỳ dữ liệu nào của chính phủ”.
Tin tức về vụ vi phạm mới nhất của Colorado xuất hiện chỉ vài ngày sau khi Cục Giáo dục Đại học Colorado cho biết họ đã gặp phải một sự cố ransomware, tin tặc truy cập và sao chép dữ liệu trong 16 năm từ hệ thống của họ. Tháng trước, đại học Bang Colorado cũng xác nhận rằng họ đã bị vi phạm dữ liệu liên quan đến MOVEit, ảnh hưởng đến hàng chục nghìn sinh viên và những người đang làm việc tại trường.
Trong khi đó, PH Tech, một công ty cung cấp dịch vụ quản lý dữ liệu cho các công ty bảo hiểm chăm sóc sức khỏe của Mỹ xác nhận rằng họ cũng bị ảnh hưởng bởi vụ hack MOVEit, ảnh hưởng đến thông tin sức khỏe của 1,7 triệu cư dân Oregon.
Ngoài ra, từ đầu năm tới nay, vụ vi phạm lớn nhất đối với một nhà cung cấp dịch vụ chăm sóc sức khỏe của Mỹ thuộc về HCA Healthcare, ảnh hưởng đến tên, địa chỉ và chi tiết cuộc hẹn của 11,2 triệu người do một lỗ hổng bảo mật không liên quan đến MOVEit./.