El proveedor de atención médica HMG Healthcare, con sede en Texas, confirmó que los piratas informáticos accedieron a los datos personales de residentes y empleados, pero dice que no ha podido determinar qué tipos de datos fueron robados.
HMG Healthcare tiene su sede en The Woodlands, Texas, y brinda una variedad de servicios, que incluyen cuidado de la memoria, rehabilitación y vida asistida. El sitio web de HMG dice que emplea a más de 4.100 personas y atiende aproximadamente a 3.500 pacientes, lo que genera más de 150 millones de dólares en ingresos anuales.
en un aviso publicado en su sitio web, el director ejecutivo de HMG, Derek Prince, confirmó que los piratas informáticos accedieron en agosto a un servidor que almacenaba «archivos no cifrados» que contenían información confidencial perteneciente a pacientes, empleados y sus dependientes. HMG dijo que se enteró de la infracción meses después, en noviembre.
HMG dijo que la información robada “probablemente contenía” información personal, incluidos nombres, fechas de nacimiento, información de contacto, números de Seguro Social y registros relacionados con el empleo; así como registros médicos, información general de salud e información sobre tratamientos médicos, según el aviso. HMG también dijo que el aviso se publicó para informar a “las personas sobre las cuales HMG tiene información de contacto insuficiente o desactualizada” sobre el incidente, sugiriendo que los datos históricos del paciente pueden haberse visto afectados.
Sin embargo, HMG admite que, si bien intentó identificar los datos específicos que se vieron comprometidos, «ahora hemos determinado que dicha identificación no es factible».
Aún no se sabe por qué HMG no pudo determinar los tipos de datos robados y un portavoz de la compañía no respondió a las preguntas de TechCrunch.
HMG no dijo en su aviso cuántas personas se cree que se verán afectadas por la infracción. Sin embargo, una presentación ante el fiscal general de Texas presentado por HMG el lunes confirma que aproximadamente 75,000 texanos se vieron afectados por la infracción; aunque no se sabe cuántos residentes no estatales se ven afectados.
HMG no describió la naturaleza del ciberataque, pero señaló que “HMG trabajó diligentemente para garantizar que los piratas informáticos no compartieran los archivos robados con otras fuentes”. No es raro que las víctimas corporativas de ataques de ransomware pagar a los piratas informáticos una demanda de rescate en un esfuerzo por limitar la difusión de datos robados, a pesar de no tener garantías de que los piratas informáticos cumplirían su parte del trato.
TechCrunch preguntó a HMG si había pagado un rescate a los piratas informáticos.
Según el aviso de violación de datos de HMG, el proveedor de atención médica también tiene varias instalaciones en Kansas, incluidas Tanglewood Health and Rehabilitation y Smoky Hill Health and Rehabilitation, que se vieron afectadas por la violación de datos.
Prince, director ejecutivo de HMG, señaló que la organización ha «aumentado sus protocolos de seguridad de datos» a la luz del incidente, pero no especificó qué medidas de seguridad adicionales se tomaron.