Компания Phreesia, специализирующаяся на решениях в сфере SaaS для здравоохранения, сообщилао масштабной утечке персональных и медицинских данных. Инцидент затронул более 910 тысяч человек и произошёл из-за взлома дочерней платформы ConnectOnCall в мае 2024 года.
ConnectOnCall, приобретённая Phreesia в октябре 2023 года, представляет собой телемедицинский сервис и платформу для обработки звонков от пациентов в нерабочие часы с функцией автоматического отслеживания коммуникаций. По данным компании, несанкционированный доступ продолжался почти три месяца – с 16 февраля по 12 мая 2024 года.
Проблема была обнаружена 12 мая, после чего ConnectOnCall провела внутреннее расследование и приняла меры для защиты системы. В результате выяснилось, что третьи лица получили доступ к конфиденциальным данным, содержащимся в сообщениях между пациентами и медицинскими сотрудниками.
Среди утекших данных – имена, номера телефонов, даты рождения и медицинские номера пациентов. Также могла быть раскрыта информация о заболеваниях, назначенном лечении и рецептах. В небольшом числе случаев злоумышленники получили доступ к номерам социального страхования.
После выявления утечки Phreesia незамедлительно уведомила федеральные правоохранительные органы и привлекла внешних специалистов по кибербезопасности для детального анализа произошедшего. Платформа ConnectOnCall была временно отключена, а компания приступила к восстановлению работы сервиса в более защищённой среде.
Согласно заявлению, ConnectOnCall работает отдельно от других продуктов Phreesia. Компания заверила, что другие сервисы, включая платформу для приёма пациентов, не были скомпрометированы в результате взлома.
Phreesia порекомендовала пострадавшим принять меры предосторожности и сообщить о подозрительных действиях в страховые компании или финансовые учреждения. Хотя на данный момент отсутствуют доказательства неправомерного использования данных, компания призвала к повышенной бдительности.
По сведениям, предоставленным Департаменту здравоохранения и социальных служб США, инцидент затронул 914 138 человек. В Phreesia подчеркнули, что работают над скорейшим восстановлением ConnectOnCall, понимая важность сервиса для клиентов.