image

Digitaal zorgplatform lekt privégegevens van 8,5 miljoen patiënten

donderdag 23 november 2023, 11:34 door Redactie, 7 reacties

Het digitale zorgplatform Welltok heeft de privégegevens van 8,5 miljoen patiënten gelekt, zo heeft het bedrijf bekendgemaakt. Welltok biedt een platform waarmee zorginstanties met patiënten over hun zorg kunnen communiceren. Net als veel andere organisaties maakte Welltok gebruik van MOVEit Transfer, een door softwarebedrijf Progress ontwikkelde applicatie voor het uitwisselen van bestanden.

Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties.

Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Progress Software, de ontwikkelaar van MOVEit Transfer, heeft tot nu toe van 23 klanten bericht gehad dat ze door de aanval zijn getroffen. Een aantal van hen wil een schadevergoeding. Daarnaast is Progress onderdeel van 58 massaclaims die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen.

Welltok stelt dat het op 26 juli werd ingelicht over een aanval op de eigen MOVEit-server. Verder onderzoek wees uit dat aanvallers van 8,5 miljoen patiënten de gegevens hebben gestolen. Het gaat om naam, geboortedatum, social-securitynummer, behandelgegevens, diagnoses, medicijninformatie, behandelkosten en informatie over de zorgverzekering, alsmede contactgegevens zoals adresgegevens, telefoonnummer en e-mailadres.

Noindex

TechCrunch ontdekte dat Welltok in de eigen melding over het datalek de code "noindex" heeft opgenomen, waarmee het zoekmachines aangeeft om de pagina niet te indexeren, waardoor het lastiger voor gedupeerden wordt om de betreffende pagina te vinden. Volgens securitybedrijf Emsisoft zijn 2629 organisaties slachtoffer van de MOVEit-aanval geworden, waarbij de gegevens van in totaal 82,3 miljoen personen zijn gestolen. De diefstal bij Welltok staat op de tweede plek, achter Maximus. Bij de Amerikaanse dienstverlener werden gegevens van 11,3 miljoen individuen buitgemaakt.

Reacties (7)
23-11-2023, 11:48 door Anoniem
Goh... Maakt niks uit joh. Het zijn maar gegevens van burgers.
We moeten vooral DOOR met digi-drammen! Door!
23-11-2023, 14:00 door Anoniem
Door Anoniem: Goh... Maakt niks uit joh. Het zijn maar gegevens van burgers.
We moeten vooral DOOR met digi-drammen! Door!
Vooral ook leuk als de meer dan 451 miljoen Europeanen in hun toekomstige Europese digital wallet de melding krijgen van een omvangrijke data-breach binnen de European Health Data Space, waar hun hele medische hebben en houwen inclusief al hun contact-, betalings- en persoonsidentificerende gegevens zijn opgeslagen, met de bijgeleverde specificaties van de hack, zoals bijvoorbeeld:
Date(s) Breach Occured: 05/30/2023
Date Breach Discovered: 10/23/2023 (zit bijna vijf maanden tussen).

En je dan de volgende "geruststelling" krijgt:
"What We Are Doing. We take this event and the security of personal information in our care very seriously.  Upon learning of this event, we moved quickly to investigate and respond to the event and notify potentially affected individuals.  As part of our ongoing commitment to the security of information, we are reviewing and enhancing our existing policies and procedures related to data privacy to reduce the likelihood of a similar future event. We are notifying impacted individuals for whom a valid mailing address is available via U.S. mail and offering them credit monitoring and identity protection services. We are also notifying applicable regulators."
BTW, hoe is de hulp aan Europeanen geregeld die in de EHDS van hun identiteit beroofd (gaan) worden?

En (ook niet geheel irrelevant):
hoeveel zekerheid kan de EU haar 451+ miljoen burgers bieden dat haar EU-(EHDS)servers niét gehackt worden, zoals de MOVEit Transfer server van Welltok, Inc.?

En - afgeleid daarvan - mag ik dan mezelf als Nederlander uitschrijven uit de EHDS wanneer ik de aangeboden zekerheid van deze cyberspace (die alleen uitgedrukt kan worden in een zeer discutabel kanspercentage) onder de maat vind?
Indachtig het feit dat de EU met de EHDS "supports individuals to take control of their own health data" en met het doel om "empowering individuals through increased digital access to and control of their electronic personal health data, at national level and EU-wide, and support to their free movement .." (eigen vetdruk).
Ja, hallo EU, bent u daar nog?

https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space_en#latest-updates-and-documents
23-11-2023, 15:28 door Anoniem
Door Anoniem: Goh... Maakt niks uit joh. Het zijn maar gegevens van burgers.
We moeten vooral DOOR met digi-drammen! Door!
Had je al begrepen dat dit over een Amerikaans bedrijf gaat en niet over een Europese overheidsinstantie?
23-11-2023, 15:45 door Anoniem
Iedereen maar die hersenloos cloud producten neemt. Het wordt tijd dat ze gevangenis straffen gaan uitdelen, dan verandert er wel wat.
23-11-2023, 16:25 door EersteEnigeEchte M.J. - EEEMJ
@Anoniem op 23-11-2023 om 14:00 uur.

Helemaal mee eens.

Zie ook mijn bijdrage op 23-11-2023 om 15:47 uur onder: https://www.security.nl/posting/819339/Privacyzorgen+over+gebruik+van+Chinese+apparatuur+in+zorgsector

M.J.
24-11-2023, 08:02 door Anoniem
Door Anoniem:
Door Anoniem: Goh... Maakt niks uit joh. Het zijn maar gegevens van burgers.
We moeten vooral DOOR met digi-drammen! Door!
Had je al begrepen dat dit over een Amerikaans bedrijf gaat en niet over een Europese overheidsinstantie?

Maakt dat serieus uit voor de zekerheid die geboden kan worden voor de (toekomstige) veiligheid van de data die we in dit soort applicaties opslaan. Het feit dat het nu mogelijk niet om Europese data, maar om Amerikaanse, lijkt me daarin amper relevant.
25-11-2023, 12:50 door Anoniem
"Had je al begrepen dat dit over een Amerikaans bedrijf gaat en niet over een Europese overheidsinstantie?"

Natuurlijk, in Europa wordt nooit NIETS gelekt door wat voor organisatie of bedrijf dan ook dacht jij.

Nederlanders moeten aannemen dat hun persoonsgegevens ooit zijn uitgelekt.
Dat zegt de Autoriteit Persoonsgegevens in zijn jaarlijkse datalek rapportage.
Het overgrote deel van de gemiddeld 20.000 datalekken per jaar komt uit de ZORG.

https://tweakers.net/nieuws/210478/nederlanders-moeten-aannemen-dat-hun-gegevens-ooit-zijn-uitgelekt.html

'Nederland is koploper datalekken binnen Europa'

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwip3KGZiN-CAxXAzgIHHQXKCKQQFnoECBIQAQ&url=https%3A%2F%2Fwww.bnr.nl%2Fnieuws%2Ftechnologie%2F10514810%2Fnederland-is-koploper-datalekken-binnen-europa&usg=AOvVaw2BgVGZuoJQAAFmOdKD1AcU&opi=89978449
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.