Amerykańskie laboratorium kliniczne prosi swoich pacjentów o przygotowanie się na próby phishingowe

Laboratorium świadczące usługi diagnostyczne dla ośrodków Planned Parenthood na terenie całych Stanów Zjednoczonych zwróciło się do klientów z prośbą o podjęcie środków mających na celu ochronę ich danych po wystąpieniu incydentu związanego z bezpieczeństwem. Jeśli korzystałeś z usług tej organizacji, to jak najszybciej przygotuj się na potencjalne oszustwa phishingowe.

Laboratorium stało się celem cyberprzestępców

Laboratory Services Cooperative, organizacja non-profit z siedzibą w Seattle w stanie Waszyngton, wydała publiczne ogłoszenie, w którym stwierdza, że „jeśli Ty lub osoba, za której opiekę zdrowotną płacisz, odwiedził jedno z tych centrów i wykonał badania laboratoryjne lub został skierowany na badania laboratoryjne, Twoje dane mogą być częścią tego incydentu”.

W złożonym przez LSC wniosku o naruszenie danych osobowych ujawniono, że naruszenie dotyczy 1,6 miliona osób.

Osoby dotknięte tym problemem są zachęcane do „podjęcia środków ostrożności w celu ochrony swoich danych”.

Podejrzana aktywność

„27 października 2024 r. LSC zidentyfikowało podejrzaną aktywność w swojej sieci” — czytamy w zawiadomieniu. „W odpowiedzi LSC natychmiast zaangażowało zewnętrznych specjalistów ds. cyberbezpieczeństwa w celu ustalenia charakteru i zakresu incydentu oraz powiadomiło federalne organy ścigania”.

LSC świadczyło usługi różnym ośrodkom przez różny okres, a niektóre partnerstwa rozpoczęły się dopiero w ciągu ostatnich kilku lat.

Jak twierdzi laboratorium, incydent nie dotyczył wszystkich ośrodków Planned Parenthood, lecz tylko tych, które korzystały z usług testowych LSC.

Po naruszeniu LSC natychmiast zainicjowało przegląd, aby pomóc zidentyfikować, czyje dane mogły zostać naruszone i w jakim zakresie. Po miesiącach przeszukiwania danych laboratorium doszło do wniosku, że tak, atakujący mogli uzyskać dostęp do ogromnych zbiorów danych medycznych i osobowych.

Naruszone dane dotyczące zdrowia, rozliczeń i danych osobowych

„Śledztwo wykazało, że nieupoważniona osoba trzecia uzyskała dostęp do części sieci LSC i uzyskała dostęp do niektórych plików i je usunęła niektóre pliki należące do LSC” – wyjaśniono w zawiadomieniu.

W lutym 2025 r. LSC otrzymało wstępne wyniki przeglądu danych, potwierdzające, że pewne dane LSC dotyczące pacjentów i pracowników mogły zostać naruszone. Konkretne informacje nie są takie same dla wszystkich, ponieważ zależą od relacji danej osoby z LSC.

Mogą to być dane kontaktowe, takie jak, takie jak imię i nazwisko, adres, numer telefonu i adres e-mail, a także jedną lub więcej z następujących kategorii:

Informacje medyczne/kliniczne: Mogą one obejmować datę(-y) świadczenia, diagnozy, leczenie, numer dokumentacji medycznej, wyniki badań laboratoryjnych, numer pacjenta/numer dostępu, nazwę dostawcy, miejsce leczenia i szczegóły dotyczące opieki powiązanej

Informacje o ubezpieczeniu zdrowotnym: Mogą one obejmować nazwę planu, rodzaj planu, firmy ubezpieczeniowe oraz numery identyfikacyjne członka/grupy.

Dane dotyczące rozliczeń, roszczeń i płatności: Mogą to być numery roszczeń, szczegóły dotyczące rozliczeń, dane dotyczące rachunku bankowego (w tym nazwa banku, numer rachunku i numer rozliczeniowy), kody rozliczeniowe, dane dotyczące karty płatniczej, szczegóły dotyczące salda oraz podobne informacje bankowe i finansowe.

Dodatkowe identyfikatory: Mogą to być m.in. numer ubezpieczenia społecznego, numer prawa jazdy lub numer dowodu osobistego, numer paszportu, data urodzenia, dane demograficzne, numer legitymacji studenckiej i inne formy identyfikatorów rządowych.

Dla pracowników LSC: Informacje te mogą również obejmować dane dotyczące członków rodziny pozostających na ich utrzymaniu lub beneficjentów, jeśli takie informacje zostały przekazane LSC.

LSC zatrudniło specjalistów, którzy będą monitorować dark web w celu wykrycia wszelkich informacji, które mogłyby zostać wystawione na sprzedaż oszustom.

„Dark web to ukryta część internetu, w której często dochodzi do nieautoryzowanych działań i wymiany danych” – wyjaśnia laboratorium.

Z notatki wynika, że na razie nie ma dowodów na to, że informacje związane z tym incydentem wyciekły (lub są wystawione na sprzedaż).

Jak chronić się przed oszustwami, gdy oszuści mają już Twoje dane?

„Cyberprzestępcy mogą wykorzystać dane osobowe i medyczne, które wyciekły do sieci w celu spersonalizowanych oszustw. Dzięki temu mogą np. podszywać się pod lekarzy i posługiwać się dokumentacją medyczną, lub udawać ubezpieczyciela, który grozi podniesieniem składki. W takich sytuacjach warto zachować spokój i w razie nieoczekiwanego kontaktu od rzekomego pracownika placówki medycznej zawsze kontaktować się z pracownikiem danej firmy za pomocą danych z oficjalnej strony internetowej” – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.

LSC utworzyło FAQ z zasobami, aby chronić informacje klientów i pomóc poszkodowanym klientom dowiedzieć się więcej o incydencie. Poszkodowanym klientom oferowane są bezpłatne usługi monitorowania kredytu i ochrony tożsamości medycznej za pośrednictwem CyEx Medical Shield Complete.