Поставщик детских психиатрических услуг Brightline предупреждает пациентов о том, что у него произошла утечка данных, затронувшая 783 606 человек. Причиной послужила уже ставшая легендарной уязвимость нулевого дня в Fortra GoAnywhere MFT, которую мы успели осветить со всех сторон и ракурсов.
Данные пациентов похитила банда вымогателей Clop, которая воспользовалась уязвимостью CVE-2023-0669в программном обеспечении производства Fortra для похищения данных 130 компаний . Судя по всему, Brightline изначально входила в список этих компаний, но только сейчас сообщила об утечке публично.
Как сообщается, затронутых утечкой клиентов организация начала уведомлять 7 апреля, в то время как сами киберпреступники Clop указали Brightline на своём веб-сайте с утечками ещё 16 марта.
Brightline – поставщик услуг в сфере психического и поведенческого здоровья, предлагающий онлайн-консультации для детей, подростков и их семей. В последнем ” уведомлении об инциденте с безопасностью данных “, размещенном на веб-сайте компании, Brightline подтвердила, что данные были украдены из её службы GoAnywhere MFT, которая содержала защищенную медицинскую информацию.
Внутреннее расследование компании показало, что данные, украденные бандой вымогателей, включали следующую личную информацию:
- Полные имена
- Физические адреса
- Даты рождения
- Идентификационные номера участников
- Дата покрытия планом медицинского страхования
- Имена работодателей
“Как только нам стало известно об инциденте, мы немедленно приняли меры по его расследованию, подтвердив, что Fortra деактивировала учётную запись неавторизованного пользователя, отключила службу GoAnywhere и перестроила нашу версию, чтобы она больше не была уязвима”, – говорится в уведомлении о безопасности Brightline.
“Кроме того, мы внедрили дополнительные меры безопасности, в том числе ограничение постоянного доступа для проверенных пользователей и удаление всех наших данных из службы GoAnywhere до тех пор, пока не будет найдено и реализовано альтернативное решение для передачи файлов”.
Brightline предлагает всем затронутым утечкой лицам два года бесплатных услуг по защите личных данных и кредитному мониторингу через сервис Cyberscout.