Otro gigante corporativo ha confirmado que a miles de miembros de atención médica les robaron información en el ataque cibernético dirigido a los clientes de Fortra.
La compañía de tecnología con sede en Florida NationsBenefits dijo en un aviso de violación de datos presentado ante el fiscal general de New Hampshire que a más de 7,100 residentes del estado les robaron su información personal en el ataque de ransomware a fines de enero en los sistemas de Fortra.
NationsBenefits brinda beneficios complementarios para los miembros del seguro de salud, como medicamentos para la vista, la audición y de venta libre.
El aviso de violación de datos decía que los piratas informáticos robaron información personal de los miembros de NationsBenefits almacenada en su instancia alojada en Fortra de GoAnywhere, una herramienta de software de transferencia de archivos utilizada por miles de organizaciones para compartir grandes conjuntos de datos a través de Internet.
Los piratas informáticos utilizaron una vulnerabilidad previamente desconocida para asaltar docenas de instancias GoAnywhere de clientes alojadas por Fortra en el ataque masivo de enero. La banda de ransomware Clop se atribuyó la responsabilidad, alegando que robó datos de más de cien organizaciones.
NationsBenefits no dijo en su aviso de violación de datos qué información personal de miembros específicos fue robada en el ataque.
Cuando fue contactado por TechCrunch, el portavoz de NationsBenefits, Michael Fried, se negó a decir qué datos específicos de los miembros fueron robados en el incidente, y agregó que la compañía está “cumpliendo con todas las obligaciones legales y comerciales en respuesta a este incidente”.
No se sabe cuántas personas que residen fuera de New Hampshire se ven afectadas. NationsBenefits también presentó un aviso de violación de datos en California, pero las empresas no están obligadas según la ley estatal a revelar cuántos residentes se ven afectados por una violación de datos. Por lo general, las empresas tienen que revelar violaciones de datos en California cuando 500 residentes o más se ven afectados.
NationsBenefits tiene más de 20 millones de miembros en los Estados Unidos. El portavoz de la compañía se negó a decir cuántos de sus millones de miembros se ven afectados por la filtración, cuando se le preguntó.
La compañía de beneficios de atención médica es el último cliente de Fortra en confirmar que se vio afectada por la infracción de enero. El gigante estadounidense de la salud Community Health Systems fue la primera víctima confirmada y una de las más afectadas, y los piratas informáticos afirmaron haber robado datos de al menos un millón de pacientes. El gigante de bienes de consumo Procter & Gamble, el proveedor de programas de atención médica US Wellness, el gigante de inversiones Onex, el Fondo de Protección de Pensiones del Reino Unido, Brightline y la ciudad de Toronto han confirmado robos de datos después del ataque.
Fortra se ha enfrentado a críticas por su mal manejo de la infracción, que incluía ocultar detalles del exploit de día cero detrás de un muro de inicio de sesión de clientes. La noticia de la violación solo salió a la luz cuando el reportero de seguridad Brian Krebs publicó en línea la divulgación oculta de la compañía. Fortra reparó la vulnerabilidad una semana después.
TechCrunch informó que Fortra les dijo a algunos clientes que sus datos estaban seguros, solo para descubrir que sus datos fueron robados después de que los piratas informáticos enviaran una demanda de rescate.
NationsBenefits reconoció en su declaración que, “Solo después de que contactamos a Fortra confirmaron la existencia de la vulnerabilidad”.
En su primer reconocimiento público de la violación, Fortra dijo en una publicación de blog el martes que los clientes que ejecutan su propio servidor en las instalaciones fueron pirateados casi dos semanas antes de que los sistemas alojados de Fortra se vieran comprometidos.
La portavoz de Fortra, Rachel Woodford, se negó a decir cuántos clientes se ven afectados o comentar más allá de la publicación del blog de la compañía.
