OnTrac-databrudd eksponerer personnumrene til 40 000 personer

OnTrac-databrudd eksponerer personlig informasjon og helsedata tilhørende 40 000 personer

Et nettangrep på leveringsselskapet OnTrac har eksponert sensitiv personlig informasjon tilhørende mer enn 40 000 personer. De kompromitterte dataene inkluderer navn, fødselsdatoer, personnumre, førerkortnumre og helseinformasjon – en kombinasjon som sikkerhetseksperter anser som særlig farlig fordi den muliggjør identitetstyveri, medisinsk svindel og økonomisk kriminalitet samtidig.

OnTrac undersøker for øyeblikket det fulle omfanget av den uautoriserte tilgangen, noe som betyr at det endelige antallet berørte personer kan endre seg etter hvert som gjennomgangen fortsetter.

Hvilke data ble eksponert, og hvorfor er det viktig?

Ikke alle databrudd medfører samme risiko. At et selskap lekker e-postadresser er en plage. At et selskap lekker personnumre sammen med helseinformasjon er en langt mer alvorlig hendelse.

Her er grunnen til at denne kombinasjonen er så skadelig:

• Personnumre er hovednøkkelen til din økonomiske identitet. Med ett personnummer kan en kriminell aktør åpne kredittkontoer, levere falske selvangivelser eller ta opp lån i ditt navn.
• Fødselsdatoer og førerkortnumre brukes vanligvis som sekundær verifisering hos banker og offentlige tjenester, noe som gjør dem verdifulle supplement til et personnummer.
• Helseinformasjon kan brukes til å begå medisinsk svindel, for eksempel ved å inngi falske forsikringskrav eller skaffe reseptbelagte legemidler under din identitet. Den kan også brukes til målrettet nettfisking, der angripere utformer overbevisende meldinger med referanser til din faktiske sykehistorie.

Når disse datatypene opptrer sammen i ett enkelt brudd, øker skadepotensialet betydelig.

Et leveringsselskap oppbevarte dine mest sensitive data

Et av de mer slående aspektene ved denne hendelsen er kilden. OnTrac er et regionalt pakkeselskap. De fleste ville ikke forvente at et pakkeleveringsselskap i det hele tatt skulle oppbevare personnumre eller helsedata.

Dette er en påminnelse om hvor bredt personlige data flyter gjennom økonomien. Leveringsselskaper samhandler med logistikkpartnere, helseleverandører, apotek og forhandlere. Data som samles inn for ett avgrenset formål – for eksempel verifisering av ansettelsesberettigelse eller behandling av en forsendelse med medisinsk utstyr – kan ende opp med å bli lagret lenge etter at den opprinnelige transaksjonen er avsluttet.

Hverdagstjenester oppbevarer ofte mer data enn forbrukere er klar over, og disse dataene kan bli en sårbarhet når sikkerhetstiltak svikter.

Hva dette betyr for deg

Hvis du har brukt OnTracs tjenester, eller hvis en forhandler eller helseleverandør sendte varer til deg gjennom deres nettverk, kan din informasjon ha vært involvert. Undersøkelsen pågår fortsatt, så formelle varsler til berørte personer kan komme etter hvert.

Her er konkrete tiltak du kan iverksette akkurat nå:

• Frys kreditten din hos alle tre store kredittbyråer. En kredittfrysing er gratis og forhindrer at nye kontoer åpnes i ditt navn uten din uttrykkelige godkjenning. Det er det mest effektive verktøyet mot identitetstyveri etter eksponering av personnummer.
• Sjekk kredittrapportene dine for ukjente kontoer. Du har rett til gratis rapporter fra hvert byrå én gang i året. Se etter kontoer, forespørsler eller adresser du ikke kjenner igjen.
• Gå nøye gjennom uttalelsene fra helseforsikringen din. Se etter krav innlevert for tjenester du ikke har mottatt. Dette er det tydeligste tidlige tegnet på medisinsk identitetssvindel.
• Vær på vakt mot målrettet nettfisking. Angripere som tilegner seg helsedata utformer noen ganger svært personlige e-poster eller telefonsamtaler. Vær skeptisk til enhver uønsket kontakt som refererer til din sykehistorie eller leveringsaktivitet.
• Bruk sterke, unike passord og aktiver tofaktorautentisering på alle kontoer knyttet til tjenester som kan ha delt dine data med OnTrac.

Utover disse umiddelbare tiltakene er dette bruddet en nyttig anledning til å tenke mer helhetlig om ditt digitale fotavtrykk. Dataene som eksponeres i hendelser som denne, korreleres ofte med informasjon innhentet fra andre kilder, inkludert nettleserhistorikk, stedsdata og aktivitet på nettkontoer. Å redusere hva du eksponerer i daglig nettaktivitet – for eksempel ved å bruke en VPN når du surfer på offentlige eller upålitelige nettverk – begrenser hvor mye av din atferd tredjeparter kan sette sammen.

En VPN forhindrer ikke at et selskap blir hacket. Men den reduserer mengden data du etterlater deg under nettransaksjoner og helserelaterte søk som bidrar til din bredere profil.

Hold deg informert mens undersøkelsen fortsetter

OnTracs undersøkelse er fortsatt aktiv. Hvis du tror du kan være berørt, bør du overvåke e-posten din og fysisk post for offisielle varslingsbrev om bruddet. Slike varsler er lovpålagte i de fleste amerikanske delstater og vil inneholde instruksjoner for tilgang til kredittovervåkingstjenester dersom selskapet velger å tilby dette.

OnTrac-bruddet er en tydelig illustrasjon på at eksponering av personlige data sjelden er begrenset til tjenestene du tenker på som oppbevarere av sensitiv informasjon. Å være proaktiv, overvåke kontoene dine og ta grep for å begrense unødvendig dataeksponering er de mest effektive forsvarstiltakene som er tilgjengelige for vanlige forbrukere.