Change Healthcare, принадлежащая UnitedHealth, потеряла более чем 100 миллионов записей о здоровье людей в результате хакерской атаки с вымогательством в прошлом году, заявила во вторник, что компания 'существенно' завершила уведомление затронутых лиц о массовом нарушении данных.
Хакерская атака с вымогательством в феврале 2024 года на Change Healthcare, одного из крупнейших обработчиков медицинских счетов в Соединенных Штатах, привела к месячным перебоям, нарушившим оказание помощи по всей системе здравоохранения страны. Нарушение безопасности данных также стало крупнейшей известной кражей медицинских данных в истории США. Change Healthcare выплатила хакерам выкуп с целью предотвращения публикации оставшихся украденных данных и взамен получила копию украденных данных для начала уведомления людей, чья информация была украдена.
В обновлении уведомления о нарушении данных на своем сайте во вторник Change Healthcare заявила, что 'уведомила затронутых клиентов', для которых у компании есть почтовый адрес в файле. Здоровенный гигант заявил, что 'не может иметь достаточных адресов для всех потенциально затронутых лиц', и что сообщение на сайте предназначено 'для предоставления клиентам и людям информации о криминальной кибератаке'.
Но если вы ищете в интернете уведомление о нарушении данных Change Healthcare, вы вряд ли найдете страницу в результатах поиска поисковиков.
Обзор TechCrunch исходного кода веб-страницы уведомления о нарушении показывает, что Change Healthcare включила скрытый код 'noindex' на уведомлении, который говорит поисковым системам игнорировать веб-страницу, что делает поиск уведомления в результатах поиска более сложным. Change Healthcare включала код 'noindex' в свое уведомление о нарушении данных по крайней мере с ноября 2024 года.
Не ясно, почему Change Healthcare скрыла страницу от поисковых систем. Представитель UnitedHealth Тайлер Мейсон не прокомментировал причину включения Change Healthcare кода для скрытия уведомления о нарушении данных. На вопрос спикера не удалось предоставить конкретное количество лиц, которым Change Healthcare уведомила о нарушении, помимо оцененного числа в 100 миллионов, которое было рассказано министерству здравоохранения США в октябре 2024 года.
Представитель Управления по гражданским правам Департамента здравоохранения и социальных служб, которое осуществляет федеральные расследования нарушений данных, содержащих защищенную информацию о здоровье, не ответил на запрос о комментарии по этому вопросу.
Change Healthcare была критикована за медлительное уведомление затронутых лиц о нарушении - компания начала делать это только через четыре месяца после того, как получила копию украденных файлов. Задержка в общедоступном раскрытии привела к тому, что несколько штатов США, включая Калифорнию, Массачусетс, Небраску и Нью-Гэмпшир, вмешались, уведомляя жителей о том, чтобы быть бдительными в отношении кражи личности и мошенничества после нарушения данных.
В декабре 2024 года Небраска предъявила иск к Change Healthcare за серию сбоев в обеспечении безопасности, которые привели к нарушению. Генеральный прокурор штата Майк Хилгерс заявил, что недостаточное уведомление затронутых лиц оставило граждан штата 'более уязвимыми для эксплуатации чувствительной личной финансовой, здравственной и идентификационной информации'.
