Change Healthcare, медична технологічна компанія, що належить UnitedHealth і втратила конфіденційні дані про здоров’я понад 100 мільйонів людей під час атаки програм-вимагачів минулого року, заявила у вівторок, що компанія «суттєво» завершила повідомлення постраждалих осіб про масовий витік даних.
Атака програмного забезпечення — вимагача в лютому 2024 року на Change Healthcare, одну з найбільших обробників рахунків за пацієнтів у Сполучених Штатах, призвела до багатомісячних збоїв, які порушили роботу системи охорони здоров’я США. Витік даних також став найбільшою відомою крадіжкою медичних даних в історії США . Change Healthcare заплатила хакерам викуп, щоб запобігти подальшій публікації вкрадених даних, а в обмін на це отримала копію вкрадених даних, щоб почати сповіщати людей, чия інформація була захоплена.
В оновленому повідомленні про порушення даних на своєму веб-сайті у вівторок Change Healthcare заявила, що «повідомила своїх постраждалих клієнтів», для яких у компанії є поштова адреса. Гігант охорони здоров’я заявив, що «може не мати достатньо адрес для всіх потенційно постраждалих осіб», і що повідомлення на веб-сайті мало «надати клієнтам і окремим особам інформацію про злочинну кібератаку».
Але якщо ви шукаєте в Інтернеті повідомлення про порушення даних Change Healthcare, ви навряд чи знайдете веб-сторінку в результатах пошукової системи.
Огляд вихідного коду веб-сторінки повідомлення про порушення, проведений TechCrunch, показує, що Change Healthcare включила в повідомлення прихований код «noindex», який повідомляє пошуковим системам ігнорувати веб-сторінку, що ускладнює пошук сповіщень в Інтернеті тим, хто шукає це повідомлення. результати. Change Healthcare включила код «noindex» у своє повідомлення про порушення даних принаймні з 20 листопада 2024 року .
Чому Change Healthcare приховала сторінку від пошукових систем, незрозуміло. Речник UnitedHealth Тайлер Мейсон не прокоментував причину, чому Change Healthcare включила код, щоб приховати повідомлення про порушення даних. Відповідаючи на запитання, речник не зміг назвати конкретну кількість осіб, яких Change Healthcare повідомила про порушення, окрім приблизно 100 мільйонів, про які поділився з департаментом охорони здоров’я США в жовтні 2024 року.
Речник Управління з громадянських прав Департаменту охорони здоров’я та соціальних служб, який контролює федеральні розслідування витоку даних, пов’язаних із захищеною інформацією про здоров’я, не відповів на запит прокоментувати це питання.
Change Healthcare критикували за повільне сповіщення постраждалих осіб про порушення — компанія почала робити це лише через чотири місяці після того, як отримала копію вкрадених файлів. Затримка з оприлюдненням спонукала кілька штатів США, зокрема Каліфорнію , Массачусетс , Небраску та Нью-Гемпшир , втрутитися, сповістивши жителів, щоб вони були пильними щодо крадіжки особистих даних і шахрайства після витоку даних.
У грудні 2024 року штат Небраска подав до суду проти Change Healthcare через низку збоїв у безпеці, які призвели до злому. Генеральний прокурор штату Майк Гілгерс заявив, що відсутність належного повідомлення Change Healthcare постраждалим особам робить громадян штату «більш уразливими до використання конфіденційної особистої фінансової інформації, інформації про здоров’я та ідентифікаційної інформації».