Meer dan de helft van de Amerikaanse bevolking is slachtoffer geworden van de ransomware-aanval op zorg-IT-bedrijf Change Healthcare. In eerste instantie meldde het bedrijf dat bij de aanval de gegevens van honderd miljoen Amerikanen waren gestolen, maar dat is nu bijgesteld naar honderdnegentig miljoen. Andrew Witty, de directeur van de UnitedHealth Group waar Change Healthcare onder valt, verklaarde eerder tijdens een getuigenis voor het Amerikaanse Congres dat naar schatting een derde van de Amerikaanse bevolking was getroffen.

Hoe het kan dat het aantal slachtoffers bijna verdubbeld is heeft het bedrijf niet laten weten. UnitedHealth stelt tegenover The Wall Street Journal dat het definitieve aantal slachtoffers op een later moment bekend zal worden gemaakt. Het datalek bij Change Healthcare was al het grootste zorggerelateerde datalek in de Verenigde Staten, maar is nu dus nog groter geworden.

Het bedrijf verwerkt verzekeringen, declaraties en facturen voor honderdduizenden ziekenhuizen, apotheken en medische praktijken in heel de Verenigde Staten. Het bedrijf claimt dat het jaarlijks miljarden zorgtransacties verwerkt, alsmede een derde van de Amerikaanse patiëntendossiers. Het zou beschikken over de gezondheidsgegevens van de helft van de Amerikaanse bevolking.

Vorig jaar februari werd Change Healthcare getroffen door een ransomware-aanval waarbij namen, adresgegevens, geboortedata, telefoonnummers, e-mailadressen, kopieen van identiteitsdocumenten, social-securitynummers, rijbewijsnummers, paspoortnummers, diagnoses, medicatie, testuitslagen, behandelplannen, zorgverzekeringsgegevens en financiële informatie met betrekking tot claims en betaalgegevens werden gestolen.

Het bedrijf bevestigde dat het de verantwoordelijke criminelen 22 miljoen dollar betaalde om de gegevens van patiënten te beschermen. Vanwege de impact besloot de Amerikaanse senaat een hoorzitting te organiseren. In een vooraf gepubliceerde verklaring liet UnitedHealth-ceo Andrew Witty weten dat de aanval mogelijk was doordat de aanvallers via gecompromitteerde inloggegevens konden inloggen op een Citrix-portaal. Voor dit portaal was geen multifactorauthenticatie (MFA) ingeschakeld.

"Change Healthcare was een relatief ouder bedrijf met oudere technologie, wat we sinds de overname aan het upgraden waren", aldus Witty. "Voor de één of andere reden, wat we nog aan het onderzoeken zijn, was voor deze specifieke server geen MFA ingeschakeld." Inmiddels wordt voor alle externe systemen MFA toegepast, aldus de ceo. Vorig jaar mei meldde UnitedHealth dat de cyberaanval het bedrijf in het eerste kwartaal van 2024 zo'n 872 miljoen dollar heeft gekost.