OnTrac-databrud afslører personlige og helbredsmæssige oplysninger om 40.000 mennesker

Et cyberangreb på last-mile leveringsvirksomheden OnTrac har afsløret følsomme personoplysninger tilhørende mere end 40.000 personer. De kompromitterede data inkluderer navne, fødselsdatoer, CPR-numre, kørekortnumre og helbredsoplysninger – en kombination, som sikkerhedseksperter anser for at være særligt farlig, fordi den samtidigt muliggør identitetstyveri, medicinsk svindel og økonomisk kriminalitet.

OnTrac er i øjeblikket ved at undersøge det fulde omfang af den uautoriserede adgang, hvilket betyder, at det endelige antal af berørte personer kan ændre sig, efterhånden som gennemgangen skrider frem.

Hvilke data blev afsløret, og hvorfor det er vigtigt

Ikke alle databrud indebærer den samme risiko. En virksomhed, der lækker e-mailadresser, er en gene. En virksomhed, der lækker CPR-numre sammen med helbredsoplysninger, er en langt mere alvorlig hændelse.

Her er grunden til, at netop denne kombination er så skadelig:

  • CPR-numre er hovednøglen til din finansielle identitet. Med ét CPR-nummer kan en ondsindet aktør oprette kreditkonti, indgive svigagtige selvangivelser eller optage lån i dit navn.
  • Fødselsdatoer og kørekortnumre bruges almindeligvis som sekundær verifikation inden for bank- og offentlige tjenester, hvilket gør dem til værdifulde supplement til et CPR-nummer.
  • Helbredsoplysninger kan bruges til at begå medicinsk svindel, såsom at indgive falske forsikringskrav eller anskaffe receptpligtig medicin under din identitet. De kan også bruges til målrettet phishing, hvor angribere udformer overbevisende beskeder med referencer til din faktiske sygehistorie.

Når disse datatyper optræder samlet i ét enkelt brud, stiger skaderisikoen markant.

Et leveringsfirma opbevarede dine mest følsomme data

Et af de mere bemærkelsesværdige aspekter ved denne hændelse er kilden. OnTrac er et regionalt pakkeforsendingsfirma. De fleste ville ikke forvente, at et pakkeleveringsfirma overhovedet opbevarer CPR-numre eller helbredsdata.

Dette er en påmindelse om, hvor bredt personoplysninger cirkulerer i økonomien. Leveringsvirksomheder interagerer med logistikpartnere, sundhedsleverandører, apoteker og detailhandlere. Data, der er indsamlet til ét snævert formål – såsom at verificere ansættelsesberettigelse eller behandle en forsendelse af medicinske forsyninger – kan ende med at blive opbevaret længe efter, at den oprindelige transaktion er afsluttet.

Rutineprægede tjenester opbevarer ofte flere data, end forbrugere er klar over, og disse data kan blive en byrde, når sikkerhedsforanstaltningerne ikke slår til.

Hvad dette betyder for dig

Hvis du har brugt OnTracs tjenester, eller hvis en forhandler eller sundhedsudbyder har sendt varer til dig via deres netværk, kan dine oplysninger have været involveret. Undersøgelsen er i gang, så formelle meddelelser til berørte personer kan stadig være på vej.

Her er konkrete skridt, du kan tage lige nu:

  • Indfør en kreditspærring hos alle tre store kreditbureauer. En kreditspærring er gratis og forhindrer, at der oprettes nye konti i dit navn uden din udtrykkelige godkendelse. Det er det mest effektive redskab mod identitetstyveri efter en eksponering af CPR-numre.
  • Tjek dine kreditrapporter for ukendte konti. Du har ret til gratis rapporter fra hvert bureau én gang om året. Kig efter konti, forespørgsler eller adresser, du ikke genkender.
  • Gennemgå dine sygesikringsopgørelser nøje. Kig efter krav indgivet for ydelser, du ikke har modtaget. Dette er det tydeligste tidlige tegn på medicinsk identitetsbedrageri.
  • Vær opmærksom på målrettet phishing. Angribere, der anskaffer helbredsdata, udformer sommetider meget personaliserede e-mails eller opkald. Vær skeptisk over for enhver uopfordret henvendelse, der refererer til din sygehistorie eller leveringsaktivitet.
  • Brug stærke, unikke adgangskoder og aktiver tofaktorgodkendelse på alle konti, der er tilknyttet tjenester, som muligvis har delt dine data med OnTrac.

Ud over disse øjeblikkelige skridt er dette brud en nyttig anledning til at tænke mere bredt over dit digitale fodaftryk. De data, der afsløres i hændelser som denne, korreleres ofte med oplysninger indsamlet fra andre kilder, herunder browserhistorik, lokationsdata og online kontoaktivitet. At reducere det, du afslører under daglig onlineaktivitet – såsom at bruge et VPN, når du browser på offentlige eller utroværdige netværk – begrænser, hvor meget af din adfærd tredjeparter kan sætte sammen.

Et VPN forhindrer ikke, at en virksomhed bliver hacket. Men det reducerer mængden af data, du efterlader under de online transaktioner og sundhedsrelaterede søgninger, der bidrager til din bredere profil.

Hold dig informeret, mens undersøgelsen fortsætter

OnTracs undersøgelse er stadig aktiv. Hvis du mener, at du kan være berørt, skal du holde øje med din e-mail og fysiske post for officielle brudmeddelelsesbreve. Disse meddelelser er lovpligtige i de fleste amerikanske delstater og vil indeholde instruktioner til at få adgang til kreditovervågningstjenester, hvis virksomheden vælger at tilbyde dem.

OnTrac-bruddet er en tydelig illustration af, at eksponering af personoplysninger sjældent er begrænset til de tjenester, man anser for at opbevare sine følsomme oplysninger. At forblive proaktiv, overvåge sine konti og tage skridt til at begrænse unødvendig dataeksponering er de mest effektive forsvar, der er tilgængelige for almindelige forbrugere.