Milioni di dati sulla salute degli americani rubati dopo che gli hacker MOVEit hanno preso di mira IBM

Milioni di americani hanno subito il furto delle loro informazioni mediche e sanitarie sensibili dopo che gli hacker hanno sfruttato una vulnerabilità zero-day nei sistemi di raid del software di trasferimento file MOVEit ampiamente utilizzati gestiti dal gigante tecnologico IBM.
Il Department of Health Care Policy and Financing (HCPF) del Colorado, responsabile dell'amministrazione del programma Medicaid del Colorado, ha confermato venerdì di essere stato vittima degli attacchi di massa di MOVEit, esponendo i dati di oltre quattro milioni di pazienti.
In una notifica di violazione dei dati alle persone interessate, l'HCPF del Colorado ha affermato che i dati sono stati compromessi perché IBM, uno dei fornitori dello stato, "utilizza l'applicazione MOVEit per spostare i file di dati HCPF nel normale svolgimento delle attività".
La lettera afferma che, sebbene nessun sistema governativo statale del Colorado o HCPF sia stato interessato da questo problema, "l'attore non autorizzato ha avuto accesso ad alcuni file HCPF sull'applicazione MOVEit utilizzata da IBM".
Questi file includono nomi completi dei pazienti, date di nascita, indirizzi di casa, numeri di previdenza sociale, numeri di identificazione Medicaid e Medicare, informazioni sul reddito, dati clinici e medici inclusi risultati di laboratorio e farmaci e informazioni sull'assicurazione sanitaria.
HCPF dice che circa 4,1 milioni di persone sono colpite.
IBM deve ancora confermare pubblicamente di essere stata colpita dagli hack di massa di MOVEit e un portavoce IBM non ha risposto a una richiesta di commento di TechCrunch.
La violazione dei sistemi MOVEit di IBM ha avuto un impatto anche sul Dipartimento dei servizi sociali (DSS) del Missouri, sebbene il numero di individui interessati non sia ancora noto.
Più di sei milioni di persone vivono nello stato del Missouri.
In una notifica di violazione dei dati pubblicata la scorsa settimana, il DSS del Missouri ha affermato: “IBM è un fornitore che fornisce servizi a DSS, l'agenzia statale che fornisce servizi Medicaid ai cittadini del Missouri idonei.
La vulnerabilità dei dati non ha avuto un impatto diretto sui sistemi DSS, ma sui dati appartenenti a DSS”.
DSS afferma che i dati a cui si accede possono includere il nome di una persona, il numero del cliente del dipartimento, la data di nascita, il possibile stato o copertura di idoneità al beneficio e informazioni sulle richieste mediche.
Né l'HCPF del Colorado né il DSS del Missouri sono stati elencati nel sito di leak sul dark web della banda di ransomware Clop, che ha rivendicato la responsabilità degli attacchi di massa.
In un messaggio sul sito, il gruppo Russia-link afferma: "Non abbiamo dati governativi".
La notizia dell'ultima violazione del Colorado arriva pochi giorni dopo che il Dipartimento dell'istruzione superiore del Colorado ha dichiarato di aver subito un incidente ransomware che ha visto gli hacker accedere e copiare 16 anni di dati dai suoi sistemi.
Il mese scorso la Colorado State University ha anche confermato di aver subito una violazione dei dati relativa a MOVEit che ha avuto un impatto su decine di migliaia di studenti e personale accademico.
Nel frattempo, PH Tech, una società che fornisce servizi di gestione dei dati agli assicuratori sanitari statunitensi, ha confermato di essere stata colpita anche dagli hack MOVEit, che hanno interessato le informazioni sanitarie di 1,7 milioni di residenti dell'Oregon.
La più grande violazione di un operatore sanitario statunitense finora quest'anno va a HCA Healthcare, che ha coinvolto i nomi, gli indirizzi e i dettagli degli appuntamenti di 11,2 milioni di persone in un errore di sicurezza non correlato a MOVEit.
Gli hack di massa di MOVEit sono una lezione preziosa per l'industria del software