Laboratory Services Cooperative (LSC) wydało oświadczenie informujące o naruszeniu danych, w którym hakerzy wykradli wrażliwe informacje około 1,6 miliona osób z ich systemów.
W skrócie
LSC to organizacja non-profit z siedzibą w Seattle, która świadczy scentralizowane usługi laboratoryjne dla swoich członków stowarzyszonych, w tym wybranych ośrodków Planned Parenthood.
Odgrywa kluczową rolę w swojej niszy, wspierając organizacje w zakresie usług zdrowia reprodukcyjnego w ponad 35 stanach USA, obsługując wrażliwe badania laboratoryjne, rozliczenia i dane osobowe.
Organizacja opublikowała wczoraj zawiadomienie o incydencie bezpieczeństwa spowodowanym przez cyberprzestępcę, który włamał się do ich sieci w październiku 2024 roku i wykradł dane.
„27 października 2024 roku LSC wykryło podejrzaną aktywność w swojej sieci”
czytamy w zawiadomieniu.
„W odpowiedzi LSC natychmiast zaangażowało zewnętrznych specjalistów ds. cyberbezpieczeństwa w celu ustalenia charakteru i zakresu incydentu oraz powiadomiło organy ścigania.”
Sprawdź też: Na czym polega podział sieci na podsieci
„Dochodzenie ujawniło, że nieuprawniona strona trzecia uzyskała dostęp do części sieci LSC i uzyskała dostęp/usunęła określone pliki należące do LSC.”
Ujawnione informacje dla każdej osoby są różne i mogą zawierać jeden lub więcej z następujących typów danych:
- Dane osobowe: Pełne imię i nazwisko, SSN, numer prawa jazdy lub paszportu, data urodzenia i dokumenty tożsamości wydane przez rząd.
- Informacje medyczne: Daty usług, diagnozy, leczenie, wyniki badań, dane dostawcy i placówki.
- Informacje ubezpieczeniowe: Typ planu, ubezpieczyciel i numery członka/grupy.
- Dane rozliczeniowe i finansowe: Roszczenia, szczegóły rozliczeń, informacje o banku i kartach płatniczych.
Według zgłoszenia złożonego do Biura Prokuratora Generalnego Maine, naruszenie danych dotyczy 1 600 000 osób.
Naruszenie dotyczy głównie osób, które wykonywały badania laboratoryjne w wybranych ośrodkach Planned Parenthood korzystających z usług LSC. Więcej informacji o dotkniętych ośrodkach jest dostępnych na stronie FAQ i poprzez kontakt telefoniczny z LSC.
Podczas gdy organizacja może potwierdzić, które ośrodki zostały dotknięte, weryfikacja wpływu na poziomie indywidualnym nie jest udostępniana ze względów prywatności.
LSC informuje, że dochodzenie w sprawie incydentu bezpieczeństwa trwa, a zewnętrzni eksperci ds. cyberbezpieczeństwa monitorują dark web pod kątem wycieków danych związanych z naruszeniem. Do tej pory nie odnotowano takiego ujawnienia na dark webowych rynkach, forach czy portalach wymuszających okup.
Czytaj też: Przesyłanie dużych plików w bezpieczny sposób
Potencjalnie dotknięte osoby zachęca się do korzystania z bezpłatnych usług monitorowania kredytu i ochrony tożsamości medycznej, pokrywanych przez LSC przez 12 lub 24 miesiące, w zależności od stanu. Termin rejestracji upływa 14 lipca 2025 roku.
Dla osób niepełnoletnich bez numeru SSN lub kredytu zostanie zaoferowana oddzielna usługa monitorowania i ochrony, zwana „Minor Defense”.
Chociaż Planned Parenthood nie było tym razem bezpośrednio odpowiedzialne za ujawnienie danych, klienci organizacji opieki zdrowotnej mieli swoje dane ujawnione po raz drugi w 2024 roku, po ataku ransomware RansomHub w sierpniu 2024 roku.