ソフトウェア開発会社Serviceaideは、カトリック・ヘルスの患者48万人以上の機密情報を不注意により漏洩しました。
昨年11月、Serviceaideは、米国の医療機関であるカトリック・ヘルスのために管理・保管していた情報が「不注意により公開されていた」ことを発見しました。
Serviceaideは、カトリック・ヘルスのElasticsearchデータベースが漏洩したことを知り、セキュリティ対策を講じ、調査を開始したと述べています。
Serviceaideは、2024年9月から11月の間に患者情報が公開されていたことを発見しました。
漏洩する可能性のある情報には、以下が含まれる可能性があります。
- 氏名
- 社会保障番号
- 生年月日
- 医療記録番号
- 患者アカウント番号
- 医療/健�康情報
- 健康保険情報
- 処方箋/治療情報
- 臨床情報
- 医療機関名
- 医療機関の所在地
- メールアドレス/ユーザー名とパスワード
健康情報は、通常、時間の経過とともに変化しないため、サイバー犯罪の世界では極めて貴重です。
この種の機密情報は、脅威アクターによって高度にパーソナライズされた巧妙な攻撃に利用される可能性があります。さらに、サイバー犯罪者はこの情報を利用して患者のプロファイリングを行い、なりすましからフィッシング攻撃まで、様々な形態の詐欺を働く可能性があります。
セキュリティ保護されていない巨大なデータベースを探している脅威アクターは、この情報を利用して新規のクレジットカード口座を開設したり、あなたの名前で不正な購入を行ったり、偽の名目で融資を受けたりする可能性があります。
Serviceaideは、患者の個人識別情報がコピーされたり、詐欺に使用されたりした証拠は見つかりませんでしたが、「この種の活動の可能性を排除できない」と述べています。
Serviceaideは、通知の中で、今回の情報漏洩の影響を受けた患者の数を明らかにしていません。
しかし、米国保健福祉省(HHS)の情報によると、影響を受けた患者数は48万3000人以上に上ります。
情報漏洩ポータルでは、今回の漏洩はハッキングやITインシデントではなく、「情報への不正アクセスまたは開示」とされています。
Serviceaideは、影響を受けた個人に対し、情報漏洩通知書の送付を開始し、「将来同様のインシデントが発生するのを防ぐため、追加のセキュリティ対策を実施しました」と述べています。
同社は、米国法に基づき、消費者はEquifax、Experian、TransUnionを通じて、年に1回、無料の信用情報レポートを取得する権利があると述べています。