Violación de datos expone información personal de 612.000 beneficiarios de Medicare

Violación de datos de Medicare expone información personal de 612.000 beneficiarios.

Una violación de datos en un servicio de intercambio de archivos ha expuesto la información personal de 612.000 beneficiarios de Medicare y millones de otros consumidores de atención médica.

La violación ocurrió en el software MOVEit Transfer de Progress Software en la red corporativa de Maximus Federal Services, uno de los contratistas del programa Medicare, dijo el Centro de Servicios de Medicare y Medicaid (CMS) en un comunicado.

Maximus dijo que hasta 11 millones de personas se vieron afectadas por la violación.

La violación, que ocurrió en mayo y fue anunciada por el CMS el 28 de julio, involucró la información de identificación personal (PII) y la información de salud protegida (PHI) de los beneficiarios de Medicare y/o la información de salud protegida.

La información específica que pudo haber sido comprometida incluye nombres, números de teléfono, direcciones de correo electrónico, números de Seguro Social, información del proveedor de atención médica y de recetas, así como reclamaciones de seguro de salud, según el CMS. El organismo agregó que no se vieron afectados los sistemas del CMS ni del Departamento de Salud y Servicios Humanos.

El CMS y Maximus están enviando cartas a los beneficiarios de Medicare que podrían verse afectados por el incidente, y ambos están ofreciendo servicios gratuitos de monitoreo de crédito durante dos años.

“La privacidad y seguridad de los datos están entre nuestras principales prioridades, y estamos comprometidos a proteger los datos que se nos confían”, dijo Maximus en un comunicado a ANBLE. La compañía dijo que Maximus y muchas otras compañías utilizan MOVEit, y que está investigando el problema y monitoreando de cerca sus sistemas en busca de cualquier actividad inusual.

“Para ser claros, no hemos identificado ningún impacto de la vulnerabilidad de MOVEit en otras partes de nuestra red corporativa y mantenemos la confianza en la integridad de la red”, dijo Maximus.

Es importante actualizar la seguridad

Ani Chaudhuri, CEO de Dasera, una empresa de seguridad de datos en Saratoga, California, dijo a ANBLE que la violación ocurrió debido a una vulnerabilidad desconocida en el software MOVEit.

“Cuando los creadores de MOVEit anunciaron la vulnerabilidad el 31 de mayo de 2023, quedó claro que la brecha permitía a actores no autorizados acceder a los servidores de MOVEit, comprometiendo en este caso datos sensibles de los consumidores”, dijo Chaudhuri.

“Empresas como Maximus utilizan [servicios como MOVEit] para enviar, recibir y almacenar información sensible, lo que las convierte en objetivos atractivos para los ciberdelincuentes”, dijo. “Este incidente subraya la importancia de mantener medidas de seguridad sólidas y actualizadas, auditar regularmente el software en busca de vulnerabilidades y adoptar un enfoque proactivo hacia la gobernanza de datos”.

“Los consumidores afectados por esta violación deben estar alerta ante cualquier intento de phishing, como correos electrónicos, mensajes de texto o llamadas”, dijo Chris Hauk, quien se centra en la privacidad del consumidor en Pixel Privacy, una empresa de servicios de protección de datos en línea. “Los actores malintencionados responsables de la violación o quienes compren la información robada en la violación pueden utilizar la información que ya tienen para engañar a los usuarios y obtener información adicional”.

  • Nuevas reglas de la SEC buscan reducir los costos para los inversores cuando las empresas son hackeadas
  • 7 movimientos inteligentes para prevenir el robo de identidad
  • La luchadora LastPass sufre una nueva violación de datos. ¿Está en riesgo su cuenta?