شرکت Ascension اعلام کرد که نفوذ اطلاعاتی اخیر، بیش از ۴۳۰ هزار بیمار را تحت تأثیر قرار داده است.

شرکت Ascension، یکی از بزرگ‌ترین سامانه‌های خصوصی خدمات درمانی در ایالات متحده، اعلام کرده است که اطلاعات شخصی و درمانی بیش از ۴۳۰ هزار بیمار در جریان یک نقض داده که ماه گذشته فاش شد، در معرض افشا قرار گرفته است.

براساس آنچه شرکت Ascension در نامه‌های اطلاع‌رسانی مربوط به نقض داده‌ها که در ماه آوریل برای افراد آسیب‌دیده ارسال شد، اعلام کرده، اطلاعات آن‌ها در جریان یک حمله سرقت داده که در دسامبر رخ داده و یک شریک تجاری پیشین را تحت تأثیر قرار داده، به سرقت رفته است.

بسته به فرد آسیب‌دیده، مهاجمان ممکن است به اطلاعات سلامت شخصی مربوط به بستری شدن بیمار دسترسی پیدا کرده باشند؛ از جمله نام پزشک، تاریخ‌های پذیرش و ترخیص، کدهای تشخیص و صورتحساب، شماره پرونده پزشکی و نام شرکت بیمه. همچنین ممکن است به اطلاعات شخصی از قبیل نام، نشانی، شماره(های) تلفن، نشانی ایمیل، تاریخ تولد، نژاد، جنسیت و شماره تأمین اجتماعی (SSN) نیز دسترسی یافته باشند.

Ascension اعلام کرد: در تاریخ ۵ دسامبر ۲۰۲۴ متوجه شدیم که ممکن است اطلاعات بیماران Ascension در یک رخداد احتمالی امنیتی درگیر شده باشد. بلافاصله تحقیقات برای بررسی اینکه آیا چنین رخدادی واقعاً رخ داده و در صورت وقوع، به چه شکل بوده است، آغاز شد.

بررسی‌های ما در تاریخ ۲۱ ژانویه ۲۰۲۵ مشخص کرد که شرکت Ascension به‌طور ناخواسته اطلاعاتی را در اختیار یکی از شرکای تجاری پیشین خود قرار داده است و بخشی از این اطلاعات احتمالاً به دلیل وجود یک آسیب‌پذیری در نرم‌افزار شخص ثالث مورد استفاده آن شریک تجاری، به سرقت رفته است.

اگرچه شرکت Ascension در آن زمان تعداد کل افراد آسیب‌دیده را اعلام نکرد، اما یک گزارش ثبت‌شده در تاریخ ۲۹ آوریل نشان داد که این حادثه ۱۱۴,۶۹۲ نفر را در ایالت تگزاس تحت تأثیر قرار داده است. همچنین این شرکت به دفتر دادستان کل ایالت ماساچوست اطلاع داده که در این رخداد، پرونده‌های پزشکی و شماره‌های تأمین اجتماعی (SSN) مربوط به ۹۶ نفر از ساکنان این ایالت افشا شده است.

با این حال، این شرکت بزرگ حوزه سلامت در گزارشی که در تاریخ ۲۸ آوریل به وزارت بهداشت و خدمات انسانی ایالات متحده (HHS) ارائه کرده — اما تا امروز منتشر نشده بود — اعلام کرده است که این نقض داده‌ها ۴۳۷,۳۲۹ نفر را تحت تأثیر قرار داده است.

شرکت Ascension به افرادی که در این حادثه تحت تأثیر قرار گرفته‌اند، دو سال خدمات رایگان پایش هویت ارائه می‌دهد که شامل نظارت بر اعتبار مالی، مشاوره در زمینه کلاه‌برداری، و خدمات بازگرداندن هویت در صورت سرقت هویتی می‌شود.

اگرچه شرکت Ascension جزئیاتی درباره نقض اطلاعات مربوط به شریک تجاری پیشین خود منتشر نکرده است، اما جدول زمانی این رخداد نشان می‌دهد که این حمله احتمالاً بخشی از موج گسترده سرقت داده توسط باج‌افزار Clop بوده که از یک آسیب‌پذیری روز-صفر در نرم‌افزار انتقال فایل امن Cleo سوءاستفاده کرده است.

پس از این حادثه، سازمان خدمات درمانی اعلام کرد که منشأ نفوذ باج‌افزاری، دانلود یک فایل آلوده توسط یکی از کارکنان روی دستگاه سازمانی بوده است.

پس از حمله‌ی ماه مه ۲۰۲۴، کارکنان مجبور شدند روند درمان و تجویز داروها را به‌صورت دستی و روی کاغذ ثبت کنند، چراکه دسترسی به پرونده‌های الکترونیکی بیماران امکان‌پذیر نبود. همچنین شرکت Ascension ناچار شد برخی از اقدامات انتخابی غیراضطراری، آزمایش‌ها و نوبت‌ها را به حالت تعلیق درآورد و خدمات اورژانس را به واحدهای درمانی آسیب‌ندیده هدایت کند تا از ایجاد تأخیر در رسیدگی به بیماران جلوگیری شود.

شرکت Ascension بیش از ۱۴۲ هزار کارمند دارد، ۱۴۲ بیمارستان و ۴۰ مرکز مراقبت از سالمندان را در سراسر آمریکای شمالی اداره می‌کند و در سال ۲۰۲۳ درآمدی معادل ۲۸٫۳ میلیارد دلار گزارش کرده است.