Η Postmeds, που δραστηριοποιείται ως «Truepill», στέλνει ειδοποιήσεις για παραβίαση δεδομένων ενημερώνοντας τους παραλήπτες ότι οι φορείς απειλών είχαν πρόσβαση στις ευαίσθητες προσωπικές τους πληροφορίες.
Το Truepill είναι μια πλατφόρμα φαρμακείων που εστιάζει στο B2B που χρησιμοποιεί API για υπηρεσίες εκπλήρωσης και παράδοσης παραγγελιών για επωνυμίες απευθείας στον καταναλωτή (D2C), εταιρείες ψηφιακής υγείας και άλλους οργανισμούς υγειονομικής περίθαλψης και στις 50 πολιτείες των
ΗΠΑ
Όσον αφορά τον αριθμό των επηρεαζόμενων ατόμων, σύμφωνα με την πύλη παραβίασης του
Γραφείο
υ Πολιτικών Δικαιωμάτων του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ, το περιστατικό
Το περιστατικό επηρεάζει 2.364.359 άτομα
.
ο
γράμμα
ενημερώνει ότι η εταιρεία ανακάλυψε μη εξουσιοδοτημένη πρόσβαση στο δίκτυο στις 31 Αυγούστου 2023. Από την έρευνα του συμβάντος προέκυψε ότι οι εισβολείς είχαν αποκτήσει πρόσβαση μια μέρα πριν.
Οι τύποι δεδομένων στους οποίους ενδέχεται να έχουν πρόσβαση οι φορείς απειλής περιλαμβάνουν:
- Πλήρες όνομα
- Τύπος φαρμάκου
- Δημογραφικές πληροφορίες
- Όνομα του συνταγογράφου ιατρού
Οι παραπάνω πληροφορίες αυξάνουν τους κινδύνους phishing και επιθέσεων κοινωνικής μηχανικής. Η ειδοποίηση διευκρινίζει ότι οι αριθμοί κοινωνικής ασφάλισης (SSN) δεν περιλαμβάνονταν στο εκτεθειμένο σύνολο δεδομένων.
Μερικά από τα άτομα που έλαβαν τις ειδοποιήσεις παραβίασης δεδομένων ήταν
κάπως σαστισμένος
ισχυριζόμενοι ότι δεν είχαν ακούσει ποτέ για την εταιρεία και δεν ήταν σίγουροι πώς τα δεδομένα τους έφτασαν στο Truepill.
Ταχυδρομεία υπό νομικά πυρά
Ο εκτεταμένος αντίκτυπος του συμβάντος μπορεί να οδηγήσει σε νομικές συνέπειες ως πολλαπλές
ομαδικές αγωγές
προετοιμάζονται σε όλη τη χώρα, με το επιχείρημα ότι η παραβίαση θα είχε αποφευχθεί εάν η Postmeds διατηρούσε μια καλύτερη στάση ασφαλείας συμβατή με τις κατευθυντήριες γραμμές του κλάδου.
Συγκεκριμένα, η Postmeds κατηγορείται ότι δεν
κρυπτο
γραφεί ευαίσθητες πληροφορίες υγειονομικής περίθαλψης που είναι αποθηκευμένες στους διακομιστές της, γεγονός που θα μείωνε σημαντικά τον αντίκτυπο μιας παραβίασης δεδομένων.
Η καθυστέρηση στην ειδοποίηση των καταναλωτών μπορεί επίσης να αποτελεί μέρος των πιθανών αγωγών, καθώς η εταιρεία χρειάστηκε περισσότερους από δύο μήνες για να ενημερώσει τα θιγόμενα άτομα.
Κατά τη διάρκεια αυτής της περιόδου, κάποιοι από τους επηρεάστηκαν
παρατηρήθηκε
ύποπτη δραστηριότητα στους λογαριασμούς τους Venmo και επιβεβαίωσαν αργότερα ότι τα προσωπικά τους δεδομένα είχαν αναρτηθεί στον σκοτεινό ιστό.
Το περιεχόμενο των ειδοποιήσεων επικρίνεται επίσης για το ότι είναι πολύ ασαφές, δεν παρέχει λεπτομέρειες σχετικά με τον τρόπο με τον οποίο οι εισβολείς απέκτησαν πρόσβαση στα συστήματα της εταιρείας και ότι στερείται καθ
οδήγηση
ς προστασίας για τους παραλήπτες και κάλυψης της υπηρεσίας προστασίας κλοπής ταυτότητας.
Ένα από τα δικηγορικά γραφεία που ηγούνται αγωγής κατά της Postmed
Αναφορές
ότι τα δεδομένα που διέρρευσαν περιλαμβάνουν επίσης διευθύνσεις, ημερομηνίες γέννησης, πληροφορίες ιατρικής περίθαλψης, πληροφορίες διάγνωσης και πληροφορίες ασφάλισης υγείας, οι οποίες δεν αναφέρονται στην ειδοποίηση της εταιρείας.
VIA:
bleepingcomputer.com