ShinyHunters claimt 8,8 TB datalek bij Amazon One Medical

ShinyHunters claimt 8,8 TB datalek bij Amazon One Medical

De hackersgroep ShinyHunters heeft het gemunt op een van de meest gevoelige datacategorieën die je kunt bedenken: persoonlijke medische dossiers. De groep beweert te hebben ingebroken bij One Medical, de eerstelijnszorgdienst van Amazon, en zegt meer dan 8,8 terabyte aan gegevens te hebben buitgemaakt. Volgens bronnen uit threat intelligence stelde ShinyHunters een deadline van 22 juni voor onderhandelingen, en dreigt de gestolen data openbaar te maken als Amazon niet reageert. Noch Amazon noch One Medical heeft op het moment van schrijven het volledige incident bevestigd.

De enorme omvang van de vermeende diefstal, 8,8 TB, geeft aan dat het niet om een beperkte, gerichte extractie gaat. Als dit wordt bevestigd, zou het een van de grootste incidenten met zorggegevens in de recente geschiedenis zijn.

Wat we weten over het datalek bij One Medical

One Medical biedt in de hele Verenigde Staten een eerstelijnszorgmodel op basis van lidmaatschap. Patiënten gebruiken de app en portals om afspraken te boeken, berichten naar zorgverleners te sturen en toegang te krijgen tot hun medische dossiers. Amazon nam het bedrijf in 2023 over voor ongeveer $3,9 miljard en integreerde het in het bredere Amazon Health-ecosysteem.

Afzonderlijk meldde One Medical Seniors een gegevenslek dat een beperkt aantal patiënten trof en verband hield met een extern bestandsopslagsysteem. Het is nog niet bevestigd of dit direct in verband staat met de claim van ShinyHunters.

Zorggegevens zijn juist zo waardevol op het dark web omdat ze onveranderlijk zijn. Je kunt een creditcard annuleren, maar je kunt je geboortedatum, je medische geschiedenis of je socialezekerheidsnummer niet wijzigen. Dossiers met diagnoses, recepten, verzekeringsgegevens en contactinformatie kunnen nog jaren na een lek worden gebruikt voor verzekeringsfraude, identiteitsdiefstal en gerichte phishing.

ShinyHunters is geen onbekende als het gaat om spraakmakende doelwitten. De groep eiste eerder datalekken op bij Charter Communications, waarbij bijna 4,9 miljoen records werden blootgesteld via een vishing-aanval, en bij grote consumentenmerken als Zara, Carnival en 7-Eleven. De groep heeft laten zien bereid te zijn om tot publicatie van gegevens over te gaan wanneer aan de eisen niet wordt voldaan.

Waarom datalekken in de zorg een uniek risico vormen

De meeste datalekken veroorzaken financiële en reputatieschade. Datalekken in de zorg doen beide, en voegen daar een laag van diep persoonlijke blootstelling aan toe die patiënten zelden verwachten.

Een gestolen medisch dossier kan psychische diagnoses, reproductieve gezondheidsgeschiedenis, behandeling voor middelengebruik, hiv-status en chronische aandoeningen onthullen. In verkeerde handen kan die informatie worden gebruikt voor chantage, arbeidsdiscriminatie of uiterst gepersonaliseerde social engineering-aanvallen. Patiënten die gebruikmaken van telezorg- of eerstelijnsapps zoals One Medical, gaan er vaak van uit dat hun gegevens inherent veilig zijn omdat de app er gelikt uitziet en het bedrijf groot en goed gefinancierd is. Dit datalek, als het wordt bevestigd, herinnert ons eraan dat geen enkele bedrijfsgrootte bescherming garandeert tegen een vastberaden aanvaller.

ShinyHunters is ook in verband gebracht met datalekken bij onderwijsplatforms, waaronder het incident met Instructure Canvas waarbij studentgegevens van hogeronderwijsinstellingen werden blootgesteld. Het patroon wijst op een groep die opportunistisch te werk gaat in verschillende sectoren en daarbij geavanceerd te werk gaat.

Wat dit voor jou betekent

Als je een huidige of voormalige patiënt van One Medical bent, zijn er concrete stappen die je nu kunt nemen, nog voordat er een officiële melding komt.

Houd ten eerste je zorgverzekeringsaccounts in de gaten op declaraties of activiteit die je niet herkent. Frauduleuze facturatie is een van de meest voorkomende gevolgen van diefstal van medische gegevens. Wees ten tweede alert op phishingpogingen. Als aanvallers over gedetailleerde medische dossiers beschikken, kunnen ze e-mails of telefoontjes opstellen die verwijzen naar je zorgverlener, afspraakgeschiedenis of recepten om geloofwaardig over te komen. Klik niet op links in ongevraagde zorg gerelateerde berichten.

Overweeg ten derde een kredietbevriezing bij de drie grote kredietbureaus. Medische dossiers bevatten vaak voldoende persoonlijk identificeerbare informatie om nieuwe kredietrekeningen op jouw naam te openen.

Wat betreft tools als VPN’s: het is belangrijk om hier precies te zijn. Een VPN had dit datalek niet voorkomen, want dat vond plaats op de servers van One Medical, niet op de verbinding van een gebruiker. Het gebruik van een VPN bij het openen van medische portals, telezorgapps of zorgverzekeringsaccounts via openbare of gedeelde wifi-netwerken verkleint echter wel het risico dat jouw sessiegegevens of verzonden informatie lokaal worden onderschept. Dat is een beperkt maar reëel voordeel dat je moet begrijpen. De beveiliging aan de serverkant van het platform waar je verbinding mee maakt, is een heel andere vraag, waarop patiënten beperkt directe invloed hebben.

Waar patiënten wel invloed op hebben, is hoe ze reageren zodra een datalek wordt aangekondigd: hoe snel ze handelen, hoe zorgvuldig ze monitoren en hoe sceptisch ze omgaan met onverwachte berichten.

Concrete actiepunten

• Controleer je One Medical-account op ongebruikelijke activiteit en wijzig onmiddellijk je wachtwoord.
• Schakel multifactor-authenticatie in op je One Medical-account en op alle gekoppelde zorg- of verzekeringsportals.
• Activeer een kredietbevriezing bij Equifax, Experian en TransUnion als je dat nog niet hebt gedaan.
• Benader inkomende berichten die naar je medische geschiedenis verwijzen met extra scepsis, zelfs als ze van een bekende zorgverlener lijken te komen.
• Vermijd toegang tot gevoelige zorgaccounts via openbare wifi; als het niet anders kan, gebruik dan een VPN om je lokale verbinding te versleutelen.
• Let op een officiële datalekmelding van One Medical, waarmee je rechten onder HIPAA van kracht worden over informatie over wat er is blootgesteld.

De situatie rond One Medical is nog in ontwikkeling en de volledige omvang van wat er is buitgemaakt, is mogelijk nog enige tijd onbekend. Wat nu al duidelijk is, is dat zorgplatforms met grote hoeveelheden gevoelige patiëntgegevens hoogwaardige doelwitten blijven, en dat patiënten naar die realiteit moeten handelen in plaats van te wachten op officiële bevestiging voordat ze beschermende maatregelen nemen.