Milioni di cittadini americani hanno subito il furto di informazioni mediche e sanitarie sensibili a seguito di un attacco hacker che ha sfruttato una vulnerabilità zero-day nel software di trasferimento file MOVEit, colpendo i sistemi gestiti dalla tech giant IBM.
Dettagli dell’attacco e impatto su Colorado
Il Dipartimento della Salute e delle Politiche di Assistenza Sanitaria del Colorado (HCPF), responsabile dell’amministrazione del programma Medicaid del Colorado, ha confermato di essere stato vittima degli attacchi massivi a MOVEit, esponendo i dati di oltre quattro milioni di pazienti. Questi file contenevano nomi completi dei pazienti, date di nascita, indirizzi di casa, numeri di previdenza sociale, numeri ID di Medicaid e Medicare, informazioni sul reddito, dati clinici e medici, e informazioni sull’assicurazione sanitaria. In totale, circa 4,1 milioni di individui sono stati colpiti.
Impatto su Missouri e altri enti
Oltre al Colorado, i sistemi MOVEit di IBM hanno anche influenzato il Dipartimento dei Servizi Sociali del Missouri (DSS). Il numero esatto di individui colpiti non è ancora noto, ma si sa che più di sei milioni di persone vivono nello stato del Missouri. Il DSS ha rivelato che i dati accessibili potrebbero includere nome, numero di cliente del dipartimento, data di nascita, possibile stato di idoneità ai benefici o copertura e informazioni sulle richieste mediche.
Responsabilità e dichiarazioni
Nonostante la gravità dell’attacco, né l’HCPF del Colorado né il DSS del Missouri sono stati elencati sul sito di leak del dark web del gruppo di ransomware Clop, che ha rivendicato la responsabilità degli attacchi. Il gruppo, con collegamenti alla Russia, ha dichiarato di non possedere “dati governativi”. IBM, al momento, non ha confermato pubblicamente di essere stata colpita dagli attacchi massivi a MOVEit.
Altri incidenti correlati
La notizia dell’ultimo attacco in Colorado arriva poco dopo che il Dipartimento dell’Istruzione Superiore del Colorado ha rivelato di aver subito un incidente di ransomware, con hacker che hanno accesso e copiato 16 anni di dati dai suoi sistemi. Anche la Colorado State University ha confermato di aver subito una violazione dei dati relativa a MOVEit che ha colpito decine di migliaia di studenti e personale accademico.
Lezioni per l’industria del software
Gli attacchi massivi a MOVEit offrono una lezione preziosa per l’industria del software, sottolineando l’importanza di garantire la sicurezza e l’integrità dei dati in un mondo sempre più digitalizzato.