UnitedHealth atualiza número de vítimas de violação de dados para 190 milhões

O número de pessoas impactadas pelo ataque de ransomware no ano passado contra a Change Healthcare aumentou para quase 200 milhões.

A UnitedHealth, proprietária da Change Healthcare, atualizou o número na última sexta-feira, conforme reportado pelo Wall Street Journal.

Em comunicado, um porta-voz da UnitedHealth informou ao Recorded Future News que o total estimado de indivíduos afetados pelo ciberataque é agora de "aproximadamente 190 milhões".

“A grande maioria dessas pessoas já recebeu notificações individuais ou substitutas,” afirmou a empresa, acrescentando que o número final será confirmado e enviado ao Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos dos EUA (HHS) em uma data futura.

Em outubro, a Change Healthcare já havia relatado ao governo federal que cerca de 100 milhões de pessoas tiveram suas informações acessadas.

A UnitedHealth não respondeu a perguntas sobre quando descobriu os 90 milhões de vítimas adicionais, como chegou a esse novo número e o que mudou desde a última atualização. O HHS também não comentou o caso.

O CEO da UnitedHealth já havia informado ao Congresso que cerca de um terço de todos os americanos possuem dados processados pela empresa, que gerencia 1 em cada 3 prontuários médicos e cerca de metade das reivindicações médicas nos EUA.

A empresa admitiu em junho que os hackers provavelmente acessaram informações de seguros de saúde, dados médicos detalhados (como resultados de exames e imagens), informações financeiras e bancárias, além de dados pessoais, como números de Seguro Social.

No entanto, após revisar mais de 90% dos dados acessados e roubados, a UnitedHealth declarou que não encontrou "evidências" de que registros médicos completos ou históricos médicos de médicos tenham sido exfiltrados.

A UnitedHealth também afirmou que os bancos de dados de registros médicos eletrônicos não apareceram na análise dos dados roubados.

Apesar de pagar um resgate de US$ 22 milhões ao grupo hacker responsável pelo ataque, uma disputa interna entre os criminosos resultou na divulgação dos dados roubados em outro site de vazamentos. Desde o ataque, Change Healthcare e UnitedHealth têm trabalhado para identificar quem precisa ser notificado.

Em maio, o HHS determinou que a Change Healthcare enviasse cartas de notificação de violação a todas as vítimas em nome dos hospitais, consultórios médicos, farmácias e outras instalações afetadas.

“A medida visa garantir que milhões de americanos, incluindo idosos, deficientes, pessoas com proficiência limitada em inglês e com acesso restrito à tecnologia, entendam o impacto dessa violação em seus registros médicos privados e cuidados de saúde,” declarou Melanie Fontes Rainer, diretora do OCR.

Até o momento, a empresa confirmou que os hackers tiveram acesso a nomes, endereços, datas de nascimento, números de telefone e e-mails. Além disso, também podem ter acessado combinações das seguintes informações:

• Informações de seguro de saúde: incluindo números de identificação de membros, apólices de seguro, dados de seguradoras e IDs do Medicare/Medicaid.

• Informações de saúde: como diagnósticos, números de prontuários médicos, resultados de exames, tratamentos e imagens.

• Dados financeiros e de faturamento: números de contas, códigos de cobrança, informações de pagamentos e saldos.

• Informações pessoais: como números de Seguro Social, carteiras de motorista, IDs estaduais e passaportes.

Via - TRM