Пробив в данните на Humana излага здравна информация в шест щата

Пробивът в данните на Humana излага чувствителни здравни досиета в шест щата

Гигантът в здравното осигуряване Humana разкри пробив в данните, засягащ клиенти в Тексас, Флорида, Джорджия, Северна Каролина, Охайо и Вирджиния. Компрометираната информация включва едни от най-чувствителните данни, които могат да бъдат разкрити за даден човек: номера на социална осигуровка, записи за медицинско фактуриране и искове, дати на обслужване и имена на доставчици. Пробивът вече е предизвикал колективен иск, а последствията от него тепърва предстоят.

За засегнатите клиенти това е нещо повече от неудобство. Комбинацията от номера на социална осигуровка и подробни медицински досиета създава профил, който може да бъде използван за кражба на самоличност, медицинска измама и финансови схеми в продължение на години след първоначалното разкриване.

Как се е случил пробивът

Според разкритата информация пробивът не е резултат от директна атака срещу основните системи на Humana. Вместо това нападателите са получили достъп до клиентски данни чрез уязвимост в софтуера на доставчик. Това е все по-разпространен вектор на атака: вместо да се насочат директно към голяма, добре защитена организация, нападателите намират по-слабото звено във веригата на доставките.

Колективният иск, подаден в отговор на пробива, твърди, че Humana не е успяла да криптира или защити адекватно информацията за пациентите. Ако това е вярно, означава, че данните са били потенциално достъпни във форма, която нападателите могат директно да четат и използват, а не в криптиран формат, който би ги направил безполезни без ключ за декриптиране.

Това разграничение е важно. Криптирането не е съвършена защита, но е критично важна такава. Когато чувствителните данни са правилно криптирани, пробив в слоя за съхранение или предаване не означава автоматично, че данните са компрометирани. Когато криптирането липсва или е недостатъчно, една единствена уязвимост може да изложи милиони записи в използваема форма.

Какъв вид данни са разкрити

Обхватът на компрометираната информация заслужава по-внимателно разглеждане. Данните за медицинско фактуриране и искове не представляват просто запис за това, което дадено лице дължи или е платило. Те съдържат подробности за диагнози, лечения и доставчици, които много хора считат за дълбоко лична информация. В комбинация с номер на социална осигуровка тази информация може да бъде използвана за:

• Подаване на измамни данъчни декларации
• Откриване на нови кредитни линии
• Подаване на фалшиви искове за медицинска застраховка
• Представяне за пациенти в здравни заведения

Този вид комбинирано разкриване понякога се нарича „fullz" профил в контекста на кражба на самоличност, което означава, че нападателят разполага с достатъчно информация, за да се представя ефективно за някого в множество системи и институции.

Какво означава това за вас

Ако сте клиент на Humana, особено в шестте засегнати щата, първата стъпка е да проверите дали сте получили писмо за уведомяване за пробив. Компаниите, претърпели пробиви в данните, по принцип са задължени да уведомяват засегнатите лица, въпреки че времето и пълнотата на тези уведомления варират.

Освен да чакате официална комуникация, има конкретни стъпки, които си струва да предприемете сега:

Поставете замразяване на кредита. Свържете се с трите основни кредитни бюра (Equifax, Experian и TransUnion), за да замразите кредита си — това предотвратява откриването на нови сметки на ваше име без изричното ви одобрение. Услугата е безплатна, обратима и е една от най-ефективните налични защити след пробив в данни.

Следете медицинските си досиета. Кражбата на медицинска самоличност може да остане неоткрита дълго време. Прегледайте извлеченията за обяснение на обезщетенията от вашия застраховател и периодично поискайте копие от медицинските си досиета, за да проверите за непознати записи.

Бъдете бдителни към фишинг опити. Нападателите, получили лични данни от пробиви, често предприемат последващи целенасочени фишинг имейли или телефонни обаждания, използващи реални детайли, за да изглеждат легитимни. Бъдете скептични към нежелани контакти, препращащи към вашата застраховка или медицинска история.

Помислете за услуги за наблюдение на самоличността. Много компании предлагат наблюдение на самоличността, което ви предупреждава, когато вашата информация се появи в нови кредитни запитвания, бази данни на брокери на данни или известни хранилища за пробиви.

По-широката картина относно риска от доставчици трети страни

Пробивът в данните на Humana е напомняне, че личните ви данни са толкова сигурни, колкото е сигурна най-слабата система, през която преминават. Големите организации рутинно споделят данни с десетки или стотици доставчици, всеки от които представлява потенциална точка на разкриване. Здравеопазването, застраховането и финансовите институции обработват едни от най-чувствителните лични данни, и регулаторните изисквания относно тези данни, макар и значими, очевидно не са достатъчни, за да предотвратят подобни инциденти.

Като потребител не можете да контролирате как вашият застраховател управлява отношенията си с доставчици. Това, което можете да контролирате, е колко бързо реагирате, когато нещо се обърка, и колко слоя на защита поставяте около собствените си сметки и самоличност.

Пробивът в данните на Humana е сериозен инцидент, засягащ потенциално хиляди хора в шест щата. Ако вашата информация е разкрита, бързите и методични действия ви дават най-добрия шанс да ограничите щетите. И независимо дали сте пряко засегнати, този случай е полезно напомняне да третирате личните си данни като ресурс, заслужаващ активна защита, а не само като нещо, което пасивно съществува в ръцете на институции, на които се доверявате.