De Amerikaanse overheidscontractant zegt dat MOVEit-hackers toegang hebben gekregen tot gezondheidsgegevens van ‘minstens’ 8 miljoen individuen

De Amerikaanse overheidscontractant zegt dat MOVEit-hackers toegang hebben gekregen tot gezondheidsgegevens van ‘minstens’ 8 miljoen individuen

De Amerikaanse overheidsdiensten die gigant Maximus contracteren, hebben bevestigd dat hackers die een kwetsbaarheid in MOVEit Transfer misbruiken, toegang hebben gekregen tot de beschermde gezondheidsinformatie van maar liefst 11 miljoen individuen.

Het in Virginia gevestigde Maximus heeft contracten met federale, staats- en lokale overheden voor het beheren en beheren van door de overheid gesponsorde programma's, zoals Medicaid, Medicare, hervorming van de gezondheidszorg en welzijn naar werk.

In een 8-K-aanvraag Woensdag bevestigde Maximus dat de persoonlijke gegevens van een aanzienlijk aantal personen toegankelijk waren voor hackers die misbruik maakten van deze gegevens een zero-day-kwetsbaarheid in MOVEit Transfer , die de organisatie gebruikt om gegevens te delen met overheidsklanten met betrekking tot personen die deelnemen aan verschillende overheidsprogramma's.



Hoewel Maximus nog niet het exacte aantal getroffen personen heeft kunnen bevestigen – iets waarvan het bedrijf verwacht dat het nog enkele weken zal duren – zei de organisatie dat het gelooft dat hackers toegang hebben gekregen tot de persoonlijke gegevens, inclusief burgerservicenummers en beschermde gezondheidsinformatie, van ten minste 8 tot 11 miljoen individuen.Als dat laatste het geval is, zou dit de inbreuk tot de grootste inbreuk op gezondheidszorggegevens van dit jaar maken – en de grootste inbreuk op gegevens die is gemeld als resultaat van de massale MOVEit-hacks.

Maximus heeft niet bevestigd tot welke specifieke soorten gezondheidsgegevens toegang is verkregen en heeft niet gereageerd op de vragen van Gadget Insider. In zijn 8-K-aanvraag zei het bedrijf ditbegon de getroffen klanten en federale en staatstoezichthouders op de hoogte te stellen, en voegde eraan toe dat het verwacht dat het beveiligingsincident ongeveer $ 15 miljoen zal kosten om te onderzoeken en te verhelpen.

Clop, de aan Rusland gelinkte data-afpersingsgroep die verantwoordelijk is voor de MOVEit massa-hacks , beweert 169 gigabyte aan gegevens van Maximus te hebben gestolen, die het nog niet heeft gepubliceerd.

Maximus is een van de slechts honderden organisaties die getroffen zijn door de MOVEit Transfer-hacks die op de dark web-leksite van Clop verschijnen. Alleen al deze week heeft de ransomwaregroep een aantal nieuwe slachtoffers toegevoegd, waaronder accountantsgigant Deloitte en de wereldwijde aanbieder van sportweddenschappen Flutter, eigenaar van Fox Bets en Poker Stars.

In een verklaring aan Gadget Insider zei Deloitte-woordvoerder Sutton Meagher dat de analyse van het incident door het bedrijf heeft vastgesteld dat ons wereldwijde netwerkgebruik van de kwetsbare MOVEit Transfer-software beperkt is, en voegde eraan toe dat het bedrijf geen bewijs heeft gezien van impact op klantgegevens.

Clop noemde onlangs ook accountantskantoren PwC en Ernst & Young als laatste slachtoffers.

Flutter-woordvoerder Robert Allan vertelde Gadget Insider dat de organisatie met het hoofdkantoor in Dublin getroffen is door de massale hacks van MOVEit en de getroffen werknemers en klanten op de hoogte heeft gesteld. Flutter, dat beweert diensten te leveren aan meer dan 18 miljoen klanten wereldwijd, weigerde te zeggen hoeveel personen getroffen zijn of welke soorten gegevens er toegankelijk zijn.

Clop vermeldde deze week ook Pensions Benefit Information, dat pensioenbeheerdiensten levert aan verschillende sectoren. De organisatie in A korte verklaring op zijn website heeft bevestigd dat er inbreuk is gemaakt, maar heeft niet gezegd hoeveel personen getroffen zijn. Viervan de klanten van de organisatie – waaronder CalPERS, CalSTRS, Genworth Financial en Wilton Reassurance – hebben bekendgemaakt dat er toegang was verkregen tot de gegevens van meer dan 4,75 miljoen mensen.

Volgens de laatste cijfers van cyberbeveiligingsbedrijf Emsisoft zijn tot nu toe meer dan 500 organisaties getroffen door de massale hacks van MOVEit, waardoor de persoonlijke informatie van meer dan 34,5 miljoen mensen openbaar werd gemaakt.

Banken, hotels en ziekenhuizen behoren tot de laatste massa-hackslachtoffers van MOVEit