Laboratory Services Cooperative (LSC) confirmó haber sufrido una vulneración de datos confidenciales de aproximadamente 1,6 millones de personas en sus sistemas. LSC es una organización sin fines de lucro con sede en Seattle que brinda servicios de laboratorio centralizados a sus afiliados miembros, incluidos centros selectos de Planned Parenthood. Lleva a cabo un papel crucial apoyando a organizaciones en más de 35 estados de EE. UU., manejando pruebas de laboratorio sensibles, facturación y datos personales.
Dicha organización, hizo público el incidente de seguridad en el cual, un actor de amenazas, violó sus redes en octubre de 2024 y robó sus datos.
«El 27 de octubre de 2024, LSC identificó actividad sospechosa dentro de su red», se lee en el aviso.
Inmediatamente, luego de conocerse la noticia del ataque, contrataron a especialistas externos en ciberseguridad para determinar la naturaleza y el alcance del incidente.
La investigación reveló que un tercero no autorizado accedió a partes de la red de LSC y accedió o eliminó ciertos archivos pertenecientes a LSC. La información expuesta para cada individuo varía y puede incluir uno o más de los siguientes tipos de datos:
- Identificadores personales : nombre completo, SSN, número de licencia de conducir o pasaporte, fecha de nacimiento e identificaciones emitidas por el gobierno.
- Información médica : fechas de servicio, diagnósticos, tratamientos, resultados de laboratorio, proveedores y detalles de las instalaciones.
- Información del seguro : tipo de plan, aseguradora y números de identificación de miembro/grupo.
- Datos de facturación y financieros : Reclamaciones, detalles de facturación, información bancaria y de tarjetas de pago.
Según un documento presentado ante la Oficina del Fiscal General de Maine, la violación de datos afecta a 1.600.000 personas.
Dicha filtración, afectó principalmente a personas que se realizaron pruebas de laboratorio en centros de Planned Parenthood seleccionados que utilizan LSC para sus análisis. Si bien, la organización puede confirmar qué centros se vieron afectados, no se proporciona la validación del impacto a nivel de individuos debido a razones de privacidad.
LSC afirma que la investigación del incidente de continúa y que expertos externos en ciberseguridad se encuentran monitoreando la dark web para detectar filtraciones de datos relacionadas con la brecha. Hasta el momento, no se ha producido ninguna exposición de tales datos en este tipo de mercados, de igual manera, las personas potencialmente afectadas pueden utilizar los servicios gratuitos de monitoreo de crédito y protección de identidad médica que ofrece LSC durante 12 o 24 meses. La fecha límite para inscribirse, según afirman, es hasta el 14 de julio de 2025.
Para las personas menores de edad que no tengan SSN ni crédito, se ofrecerá un servicio de monitoreo y protección separado, llamado ‘Defensa de Menores’.
Aunque Planned Parenthood no fue directamente responsable de la exposición de datos esta vez, los clientes de la organización de atención médica tuvieron sus datos expuestos por segunda vez en 2024, luego de un ataque de ransomware RansomHub en agosto de 2024.
Fuente
Ciberprisma - alianza por la ciberseguridad 