تعرضت شركة المحاماة التي تتعامل مع خروقات البيانات لاختراق البيانات

تعرضت شركة محاماة دولية تعمل مع الشركات المتضررة من الحوادث الأمنية لهجوم إلكتروني خاص بها أدى إلى كشف المعلومات الصحية الحساسة لمئات الآلاف من ضحايا اختراق البيانات.

وقالت شركة Orrick, Herrington & Sutcliffe، ومقرها سان فرانسيسكو، الأسبوع الماضي، إن المتسللين سرقوا المعلومات الشخصية والبيانات الصحية الحساسة لأكثر من 637000 من ضحايا اختراق البيانات من مشاركة ملف على شبكتها أثناء عملية اقتحام في مارس 2023.

تعمل Orrick مع الشركات التي تتعرض لحوادث أمنية، بما في ذلك خروقات البيانات، للتعامل مع المتطلبات التنظيمية، مثل الحصول على معلومات الضحايا من أجل إخطار سلطات الدولة والأفراد المتضررين.

وفي سلسلة من رسائل إشعار خرق البيانات المرسلة إلى الأفراد المتضررين، قال أوريك إن المتسللين سرقوا مجموعات من البيانات من أنظمته تتعلق بالحوادث الأمنية في شركات أخرى، والتي عمل خلالها أوريك كمستشار قانوني.

قال Orrick إن اختراق أنظمته شمل بيانات عملائه، بما في ذلك الأفراد الذين لديهم خطط رؤية مع شركة التأمين العملاقة EyeMed Vision Care وأولئك الذين لديهم خطط طب الأسنان مع Delta Dental، وهي شبكة تأمين رعاية صحية عملاقة توفر تغطية طب الأسنان لملايين الأمريكيين. وقالت Orrick أيضًا إنها أخطرت شركة التأمين الصحي MultiPlan، وعملاق الصحة السلوكية Beacon Health Options (المعروفة الآن باسم Carelon) وإدارة الأعمال الصغيرة الأمريكية بأن بياناتهم قد تعرضت للاختراق أيضًا في خرق بيانات Orrick.

وقال أوريك إن البيانات المسروقة تشمل أسماء المستهلكين وتواريخ الميلاد والعنوان البريدي وعناوين البريد الإلكتروني وأرقام التعريف الصادرة عن الحكومة، مثل أرقام الضمان الاجتماعي وأرقام جواز السفر ورخصة القيادة وأرقام التعريف الضريبي. تتضمن البيانات أيضًا معلومات العلاج والتشخيص الطبي، ومعلومات مطالبات التأمين – مثل تاريخ الخدمات وتكاليفها – وأرقام تأمين الرعاية الصحية وتفاصيل مقدم الخدمة.

وقال أوريك إن الاختراق يشمل بيانات اعتماد الحساب عبر الإنترنت وأرقام بطاقات الائتمان أو الخصم.

ارتفع عدد الأفراد المعروف أنهم تأثروا بخرق البيانات هذا بمقدار ثلاثة أضعاف منذ أن كشف أوريك عن الحادث لأول مرة. قالت شركة Orrick في أحدث إشعار لها بشأن اختراق البيانات إنها “لا تتوقع تقديم إخطارات نيابة عن شركات إضافية”، لكنها لم تذكر كيف توصلت إلى هذا الاستنتاج.

ليس من الواضح كيف اقتحم المتسللون في البداية شبكة Orrick، أو ما إذا كان المتسللون طالبوا بفدية مالية من شركة المحاماة.

لم يجيب Orrick على أسئلة TechCrunch حول الحادث. وقالت جولي غولدستين، المتحدثة باسم شركة أوريك، في بيان: “نأسف على الإزعاج والإلهاء الذي سببه هذا الحادث الخبيث. لقد جعلنا من أولوياتنا حل المشكلة في أسرع وقت ممكن لعملائنا والأفراد الذين تأثرت بياناتهم وفريقنا.

وفي ديسمبر/كانون الأول، أبلغ أوريك محكمة اتحادية في سان فرانسيسكو أنه توصل إلى اتفاق من حيث المبدأ لحل أربع دعاوى قضائية جماعية، اتهمت أوريك بالفشل في إبلاغ الضحايا بالانتهاك إلا بعد مرور أشهر على الحادث.

وأضاف المتحدث باسم Orrick: “يسعدنا التوصل إلى تسوية في غضون عام من الحادث، مما أنهى هذه المسألة، وسنواصل تركيزنا المستمر على حماية أنظمتنا ومعلومات عملائنا وشركتنا”.