Hack de “Blackbaud”: organizações de saúde dos EUA confirmam que a violação de dados afetou 190.000 pacientes
Incidentes separados em duas organizações de saúde dos Estados Unidos podem ter resultado no comprometimento de dados pessoais de mais de 190.000 pacientes após um ataque cibernético de alto nível contra um provedor de software em nuvem terceirizado.
Ataque de ransomware em software de terceiros continua a fazer vítimas.
Um ataque de ransomware ao Blackbaud em maio de 2020, viu os invasores assumirem o controle dos servidores da empresa e criptografar alguns conjuntos de dados.
O software, que fornece programas de gerenciamento de doadores e arrecadação de fundos para sites, é usado por instituições de caridade e outras instituições em todo o mundo.
Quatro meses depois, as organizações continuam a contabilizar o custo da violação de dados de terceiros. Children’s Minnesota, uma das maiores organizações de saúde infantil dos EUA, anunciou recentemente que os dados pessoais de mais de 160.000 pacientes podem ter sido comprometidos no incidente.
O centro médico disse que usou o software baseado em nuvem da Blackbaud para atividades de arrecadação de fundos. Detalhes do paciente, incluindo nomes, idades, endereços, registros médicos, datas de tratamentos e informações de seguro médico foram expostos, disse o Children’s Minnesota em um alerta de segurança recente.
“É importante ressaltar que a conta financeira, as informações do cartão de crédito e os números do Seguro Social não estavam contidos no banco de dados Blackbaud afetado”, dizia o comunicado.
“Este incidente não envolveu nenhum acesso aos nossos sistemas médicos ou registros eletrônicos de saúde.”
Separadamente, o Centro Médico Regional Nossa Senhora do Lago em Baton Rouge, Louisiana, também anunciou esta semana que havia sofrido uma violação por meio do ataque Blackbaud.
A organização irmã do centro médico, a Fundação Nossa Senhora do Lago, foi uma das vítimas da violação de Blackbaud em maio. O provedor de saúde disse que compartilhou alguns dados com a fundação, resultando na exposição de detalhes pessoais de mais de 31.000 pacientes.
Os dados vazados incluem nomes, endereços, números de telefone e endereços de e-mail, bem como informações de saúde “limitadas”, como nomes de médicos atribuídos. Nossa Senhora do Lago salientou que nenhum registro financeiro foi afetado.
O centro também disse que estava “trabalhando com a Blackbaud para entender por que houve um atraso entre encontrar a violação e nos notificar, bem como quais ações a Blackbaud tem e está tomando para aumentar sua segurança e prevenir ataques futuros”.
Centenas de organizações impactadas
Até agora, o incidente Blackbaud afetou centenas de organizações, de provedores de saúde a universidades e outras instituições de caridade. No mês passado, duas instituições de caridade do Reino Unido anunciaram que foram afetadas pela violação.
O “Christie” e “the Mines Advisory Group”, ambos com sede em Manchester, foram vítimas do ataque.
Os proprietários de Blackbaud pagaram o resgate, embora o número oficial não tenha sido divulgado. Como resultado, os invasores disseram que apagaram todos os dados.
Devido ao tamanho do incidente, no entanto, mais e mais informações estão surgindo sobre as organizações que foram afetadas.
Risco de terceiros
A escala da violação do Blackbaud também levanta mais questões sobre o uso de software de terceiros. Jeremy Hendy, CEO da empresa de proteção digital contra riscos Skurio, disse ao The Daily Swig: “As violações geralmente acontecem por meio de uma falha de segurança em um parceiro da cadeia de suprimentos, três ou quatro níveis removidos de sua própria organização.
“As organizações de saúde têm ecossistemas digitais complexos, com dados confidenciais de pacientes e funcionários fluindo potencialmente através de milhares de tecnologias diferentes – muitas das quais podem não ser visíveis.”
“Não importa quão boa seja a segurança de sua rede, outra pessoa pode perder seus dados e agentes mal-intencionados estão prontos para explorar isso, é por isso que você precisa proteger seus dados, não apenas sua rede.”
Joseph Carson, diretor de segurança da Thycotic, acrescentou: “É essencial realizar uma avaliação de impacto e risco dos dados em qualquer software que uma empresa decida usar, como quais dados estão sendo coletados, quais controles de segurança possuem, integridade e disponibilidade de dados, como um forte backup de dados e resiliência.
“Embora seja importante saber que nem todos os softwares de terceiros são iguais – alguns vêm com segurança por design habilitada, enquanto outros oferecem controles de segurança básicos que estão desativados.”
