Jak poinformowała w poniedziałek firma Quest Diagnostics w swoim komunikacie prasowym, bezpieczeństwo danych osobowych i medycznych prawie 12 milionów pacjentów mogło zostać naruszone w następstwie ataku na American Medical Collection Agency (AMCA) — agencję windykacyjną obsługującą sektor opieki zdrowotnej, w tym ośrodek badań laboratoryjnych Quest Diagnostics i towarzystwo ubezpieczeniowe UnitedHealth Group.

14 maja agencja poinformowała o naruszeniu firmę Quest Diagnostics i podwykonawcę Quest, firmę Optum360. Podejrzewa się, że również inne podmioty mogły paść ofiarą ataku, w wyniku którego na stronie płatności AMCA wykryto „nieautoryzowanego użytkownika”.

Jak wykazało dochodzenie, osoba trzecia uzyskała dostęp do jednego z systemów agencji i pozostała niewykryta przez osiem miesięcy. Sprawca mógł swobodnie uzyskiwać dostęp do takich informacji jak numery kart kredytowych, rachunki bankowe, przebieg leczenia i numery ubezpieczenia społecznego. Jak informuje AMCA, wyniki testów laboratoryjnych nie zostały naruszone.

American Medical Collection Agency zwróciła się o pomoc do organów ścigania i prowadzi obecnie szczegółowe dochodzenie wewnętrzne.

„Po otrzymaniu informacji od firmy zajmującej się zgodnością z przepisami bezpieczeństwa, która współpracuje z firmami obsługującymi karty kredytowe w sprawach dotyczących potencjalnych naruszeń, przeprowadziliśmy wewnętrzny przegląd sytuacji, a następnie zamknęliśmy naszą stronę płatności” — wyjaśnia rzecznik prasowy AMCA na łamach The Hill.

Serwis DataBreaches.net jako pierwszy zamieścił informację o tym, że 28 lutego 2019 r. firma Gemini Advisory natrafiła na dane płatnicze 200 tysięcy pacjentów wystawione na sprzedaż w dark webie, o czym poinformowała AMCA.

„28 lutego 2019 r., w czasie monitorowania rynków dark webu, firma Gemini Advisory wykryła dużą liczbę skradzionych danych kart kredytowych” — mówi przedstawiciel Gemini Advisory na łamach DataBreaches.net. „Blisko 15% rekordów zawierało dodatkowe informacje umożliwiające identyfikację osób, takie jak daty urodzenia, numery ubezpieczenia społecznego i adresy fizyczne. Dokładna analiza wykazała, że informacje zostały prawdopodobnie skradzione z portalu internetowego American Medical Collection Agency (AMCA), jednej z największych agencji zajmujących się windykacją wśród pacjentów. Związek pomiędzy wyciekiem danych a naruszeniem bezpieczeństwa w AMCA potwierdziło również kilka instytucji finansowych”.