Ascension, một trong những hệ thống chăm sóc sức khỏe tư nhân lớn nhất tại Hoa Kỳ đã tiết lộ rằng, thông tin cá nhân và chăm sóc sức khỏe của hơn 430.000 bệnh nhân đã bị lộ trong một vụ vi phạm dữ liệu được tiết lộ vào tháng trước.

Như Ascension tiết lộ trong các lá thư thông báo vi phạm được gửi đến những cá nhân bị ảnh hưởng vào tháng 4, thông tin của họ đã bị đánh cắp trong một cuộc tấn công đánh cắp dữ liệu đã ảnh hưởng đến một đối tác kinh doanh cũ vào tháng 12.

Tùy thuộc vào bệnh nhân bị ảnh hưởng, những kẻ tấn công có thể truy cập thông tin sức khỏe cá nhân liên quan đến các lần khám nội trú, bao gồm tên bác sĩ, ngày nhập viện và xuất viện, mã chẩn đoán và thanh toán, số hồ sơ y tế và tên công ty bảo hiểm. Chúng cũng có thể truy cập vào thông tin cá nhân, bao gồm tên, địa chỉ, số điện thoại, địa chỉ email, ngày sinh, chủng tộc, giới tính và số An sinh xã hội (SSN).

Theo Ascension, ngày 05/12/2024, thông tin bệnh nhân của họ có thể đã liên quan đến một sự cố bảo mật tiềm ẩn. Công ty đã ngay lập tức tiến hành điều tra để xác định xem sự cố bảo mật có xảy ra hay không và xảy ra như thế nào.

Cuộc điều tra được xác định vào ngày 21/01/2025 cho thấy, Ascension đã vô tình tiết lộ thông tin cho một đối tác kinh doanh cũ và một số thông tin này có khả năng đã bị đánh cắp từ họ do lỗ hổng trong phần mềm của bên thứ ba mà đối tác kinh doanh cũ sử dụng.

Mặc dù Ascension không tiết lộ tổng số cá nhân bị ảnh hưởng tại thời điểm đó, nhưng hồ sơ nộp ngày 29/4 vừa qua cho biết, sự cố đã ảnh hưởng đến 114.692 cá nhân ở bang Texas và công ty cũng đã thông báo với Văn phòng Tổng chưởng lý Massachusetts rằng 96 cư dân đã bị lộ hồ sơ y tế và SSN trong sự cố này. Tuy nhiên, Ascension cũng tiết lộ trong hồ sơ nộp ngày 28/4 với Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) rằng vụ vi phạm dữ liệu đã ảnh hưởng đến 437.329 cá nhân.

​Ascension cung cấp hai năm dịch vụ giám sát danh tính miễn phí cho những người bị ảnh hưởng bởi sự cố này, bao gồm giám sát tín dụng, tư vấn gian lận và khôi phục danh tính bị đánh cắp.

Mốc thời gian của vụ vi phạm ngụ ý rằng, đây là một phần của các cuộc tấn công đánh cắp dữ liệu bằng phần mềm tống tiền Clop lan rộng đã khai thác lỗ hổng zero-day trong phần mềm chuyển tệp an toàn Cleo.

Năm ngoái, Ascension đã thông báo cho gần 5,6 triệu bệnh nhân và nhân viên rằng thông tin cá nhân, tài chính, bảo hiểm và sức khỏe của họ đã bị đánh cắp trong cuộc tấn công tống tiền Black Basta vào tháng 5/2024.

Sau sự cố, tổ chức chăm sóc sức khỏe tiết lộ rằng, vụ vi phạm phần mềm tống tiền là do một nhân viên tải xuống tệp độc hại vào thiết bị của công ty.

Sau cuộc tấn công vào tháng 5/ 2024, nhân viên buộc phải theo dõi các thủ tục và đơn thuốc trên giấy vì không thể truy cập hồ sơ điện tử của bệnh nhân. Ascension cũng phải tạm dừng một số thủ tục, xét nghiệm, cuộc hẹn không khẩn cấp và chuyển hướng các dịch vụ y tế khẩn cấp đến các đơn vị chăm sóc sức khỏe không bị ảnh hưởng để tránh sự chậm trễ trong việc phân loại. 

Ascension có hơn 142.000 nhân viên, điều hành 142 bệnh viện và 40 cơ sở chăm sóc người cao tuổi trên khắp Bắc Mỹ và báo cáo doanh thu là 28,3 tỷ đô la vào năm 2023.