Bij miljoenen Amerikanen werd gevoelige medische en gezondheidsinformatie gestolen nadat hackers een zero-day-kwetsbaarheid in de veelgebruikte MOVEit-software voor bestandsoverdracht hadden misbruikt die systemen van technologiegigant IBM hadden overvallen.
Het Colorado Department of Health Care Policy and Financing (HCPF), dat verantwoordelijk is voor het beheer van Colorado’s Medicaid-programma, bevestigd vrijdag dat het het slachtoffer was geworden van de massale hacks van MOVEit, waarbij de gegevens van meer dan 4 miljoen patiënten openbaar werden gemaakt.
In een melding van een datalek aan de getroffenen zei de HCPF van Colorado dat de gegevens waren aangetast omdat IBM, een van de leveranciers van de staat, de MOVEit-applicatie gebruikt om HCPF-gegevensbestanden tijdens de normale gang van zaken te verplaatsen.
In de brief staat dat hoewel er geen HCPF- of Colorado-staatsoverheidssystemen door dit probleem werden getroffen, bepaalde HCPF-bestanden op de MOVEit-applicatie die door IBM werd gebruikt, toegankelijk waren voor de ongeautoriseerde actor.
Deze bestanden bevatten de volledige namen van patiënten, geboortedata, huisadressen, burgerservicenummers, Medicaid- en Medicare-ID-nummers, inkomensinformatie, klinische en medische gegevens (inclusief laboratoriumresultaten en medicatie) en informatie over de ziektekostenverzekering.
HCPF zegt dat ongeveer 4,1 miljoen mensen getroffen zijn.
IBM heeft nog niet publiekelijk bevestigd dat het is getroffen door de massale hacks van MOVEit, en een woordvoerder van IBM heeft niet gereageerd op een verzoek om commentaar van Gadget Insider.
De inbreuk op de MOVEit-systemen van IBM had ook gevolgen voor het Department of Social Services (DSS) van Missouri, hoewel het aantal getroffen personen nog niet bekend is. In de staat Missouri wonen ruim zes miljoen mensen.
In een melding van datalekken Vorige week gepost zei DSS van Missouri: IBM is een leverancier die diensten levert aan DSS, het staatsagentschap dat Medicaid-diensten levert aan in aanmerking komende inwoners van Missouri. De datakwetsbaarheid had geen directe gevolgen voor DSS-systemen, maar wel voor gegevens van DSS.
DSS zegt dat de gegevens waartoe toegang wordt verkregen, de naam van een individu, het klantnummer van de afdeling, de geboortedatum, de mogelijke status of dekking van de uitkering en informatie over medische claims kunnen omvatten.
Noch Colorado’s HCPF, noch Missouri’s DSS zijn vermeld op de dark web-leksite van de Clop-ransomwarebende, die de verantwoordelijkheid voor de massale hacks heeft opgeëist. In een bericht op de site beweert de aan Rusland gelinkte groep: We hebben geen overheidsgegevens.
Het nieuws over de laatste inbreuk in Colorado komt slechts enkele dagen nadat het Colorado Department of Higher Education zei dat het een ransomware-incident had meegemaakt waarbij hackers toegang kregen tot 16 jaar aan gegevens van hun systemen en deze kopieerden. Colorado State University bevestigde vorige maand ook dat het te maken had gehad met een MOVEit-gerelateerd datalek dat gevolgen had voor tienduizenden studenten en academisch personeel.
Ondertussen bevestigde PH Tech, een bedrijf dat gegevensbeheerdiensten levert aan Amerikaanse zorgverzekeraars, dat het ook werd getroffen door de MOVEit-hacks van HCA Healthcare, waarbij de namen, adressen en afspraakgegevens van 11,2 miljoen mensen betrokken waren bij een beveiligingsfout die niets te maken had met Verplaats het.
De massale hacks van MOVEit bevatten een waardevolle les voor de software-industrie