Change Healthcare: 190 milhões de pessoas atingidas

O UnitedHealth Group fez uma atualização sobre o impacto do ataque de ransomware sofrido por sua subsidiária à Change Healthcare, no ano passado: ela informou que foram 190 milhões as pessoas cujos dados foram comprometidos, quase o dobro da estimativa inicial, que era de 100 milhões de pessoas. Esse incidente pode ser considerado a maior violação de dados já informada, superando em muito a violação de 78,8 milhões de registros da Anthem Inc. em 2015.

O ataque, detectado em 21 de fevereiro de 2024, foi conduzido pelo grupo de ransomware BlackCat, que recebeu um resgate de US$ 22 milhões para evitar a divulgação dos dados roubados. No entanto, o grupo não honrou o acordo, deixando os dados sob controle de um afiliado, que, posteriormente, colaborou com outro grupo, o RansomHub, numa tentativa de obter mais dinheiro da empresa. Apesar das tentativas de extorsão, nenhum pagamento adicional foi realizado, e os dados continuam em posse de criminosos.

O ataque causou interrupções significativas, paralisando por semanas os sistemas da Change Healthcare usados por provedores e seguradoras, gerando atrasos consideráveis nos ciclos de receita de organizações de saúde em todo o país. O UnitedHealth Group informou que a maioria dos indivíduos afetados foi notificada por correio, mas ainda há pessoas que não foram informadas quase um ano após a violação.

Além disso, a violação resultou em investigações pelo Office for Civil Rights (OCR) para verificar se a Change Healthcare deixou de cumprir as exigências da Regra de Segurança HIPAA. Embora os resultados ainda não tenham sido divulgados, foi confirmado que os invasores exploraram credenciais comprometidas de um servidor Citrix sem autenticação multifator habilitada, evidenciando falhas críticas de segurança.

Apesar de a UHG afirmar que não houve evidência de uso indevido dos dados roubados, o impacto potencial para os indivíduos afetados é preocupante, considerando o volume e a sensibilidade das informações comprometidas.