Postmeds, que faz negócios como "Truepill", está enviando notificações de violação de dados informando aos destinatários que atores de ameaças acessaram suas informações pessoais sensíveis.
Truepill é uma plataforma de farmácia voltada para B2B que usa APIs para a realização de pedidos e serviços de entrega para marcas de consumo direto (D2C), empresas de saúde digital e outras organizações de saúde em todos os 50 estados dos EUA.
No que se refere ao número de indivíduos impactados, de acordo com o portal de violação de direitos civis do Departamento de Saúde e Serviços Humanos dos EUA, o incidente afeta 2.364.359 pessoas.
A carta informa que a empresa descobriu um acesso não autorizado à rede em 31 de agosto de 2023.
A investigação do incidente revelou que os atacantes haviam obtido acesso um dia antes.
Os tipos de dados que podem ter sido acessados pelos atores da ameaça incluem:
Nome completo
Tipo de medicação
Informação demográfica
Nome do médico prescritor
As informações acima aumentam os riscos de ataques de phishing e engenharia social.
O aviso esclarece que os números do Seguro Social (SSN) não estavam no conjunto de dados expostos.
Algumas das pessoas que receberam as notificações de violação de dados ficaram um tanto confusas, pois alegaram que nunca ouviram falar da empresa e não têm certeza de como seus dados chegaram à Truepill.
O amplo impacto do incidente pode levar a consequências legais, pois estão sendo preparados diversos processos coletivos em todo o país, argumentando que a violação poderia ter sido evitada se a Postmeds mantivesse uma melhor postura de segurança compatível com as diretrizes da indústria.
Especificamente, a Postmeds é acusada de não criptografar as informações de saúde sensíveis armazenadas em seus servidores, o que diminuiria significativamente o impacto de uma violação de dados.
O atraso em notificar os consumidores também pode fazer parte dos possíveis processos, já que a empresa levou mais de dois meses para informar as pessoas afetadas.
Durante esse tempo, algumas das pessoas impactadas observaram atividade suspeita em suas contas do Venmo e confirmaram mais tarde que seus dados pessoais haviam sido postados na dark web.
O conteúdo das notificações também é criticado por ser muito vago, sem fornecer detalhes sobre como os invasores obtiveram acesso aos sistemas da empresa, e por não oferecer orientação de proteção aos destinatários e cobertura de serviço de proteção contra roubo de identidade.
Um dos escritórios de advocacia que lidera uma moção de litígio contra a Postmed informa que os dados vazados também incluem endereços, datas de nascimento, informações sobre tratamento médico, informações sobre diagnósticos e informações sobre seguro de saúde, que não são mencionados no aviso da empresa.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...