AdaptHealth NASDAQ:AHCO teilte am Donnerstag mit, dass es einen Cybersicherheitsvorfall untersucht, bei dem sich ein „Angreifer“ unbefugten Zugriff auf einige Unternehmenssysteme verschafft und Daten gestohlen hat, darunter Patienteninformationen und Passwörter im Zusammenhang mit der Abrechnung von Versicherungsleistungen.
Das Unternehmen erklärte, es habe am 27. Juni festgestellt, dass der Vorfall aufgrund der Art und des potenziellen Umfangs der gefährdeten Daten als wesentlich einzustufen sei, obwohl er weder den Geschäftsbetrieb noch die Versorgung der Patienten beeinträchtigt habe.
Hier sind weitere Details: -
Der Angreifer habe auf bestimmte cloudbasierte Geschäftsanwendungen zugegriffen, darunter interne Patientenverwaltungssysteme und Plattformen zur Dokumentenspeicherung, teilte das Unternehmen in einer Meldung an die Aufsichtsbehörde mit.
AdaptHealth gab an, am 15. Juni eine Mitteilung des „Angreifers“ erhalten zu haben, in der dieser behauptete, Daten aus den Systemen des Unternehmens erlangt zu haben, und bestätigte später, dass bestimmte Daten abgezogen worden waren.
Zu den betroffenen Daten gehören Passwörter im Zusammenhang mit der Abrechnung mit Versicherungen sowie bestimmte personenbezogene Daten und geschützte Gesundheitsdaten von Patienten. Das Unternehmen erklärte, dass es in den betroffenen Systemen keine Sozialversicherungsnummern erhebt und dort keine individuellen Finanzkonto- oder Zahlungskartendaten speichert.
Der Vorfall ging auf einen erfolgreichen Social-Engineering-Angriff zurück, durch den eine mit einem externen Auftragnehmer verknüpfte Benutzersitzung kompromittiert wurde, so AdaptHealth.
Das Unternehmen gab an, den Vorfall eingedämmt zu haben, indem es das kompromittierte Konto deaktivierte, die betroffenen Zugangsdaten zurücksetzte und Zugriffskontrollen einführte, während es den Umfang des Vorfalls gemeinsam mit externen Forensik-Teams weiter untersucht.
AdaptHealth erklärte, dass es die vollständigen finanziellen Auswirkungen – einschließlich der Kosten für Abhilfemaßnahmen, rechtlicher und behördlicher Maßnahmen sowie der Benachrichtigung – und möglicher Reputationsschäden noch nicht beziffern könne. Das Unternehmen gab an, über eine Cybersicherheitsversicherung zu verfügen, die bestimmte Verluste abdecken könnte.