Digitaal zorgplatform lekt privégegevens van 8,5 miljoen patiënten

Het digitale zorgplatform Welltok heeft de privégegevens van 8,5 miljoen patiënten gelekt, zo heeft het bedrijf bekendgemaakt. Welltok biedt een platform waarmee zorginstanties met patiënten over hun zorg kunnen communiceren. Net als veel andere organisaties maakte Welltok gebruik van MOVEit Transfer, een door softwarebedrijf Progress ontwikkelde applicatie voor het uitwisselen van bestanden.

Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. Een zerodaylek in deze software werd eind mei bij een wereldwijde aanval gebruikt, waarbij criminelen achter de Clop-ransomware toegang tot de MOVEit-servers van duizenden organisaties kregen en daarbij allerlei gegevens buitmaakten. Op de eigen website publiceert de Clop-groep vervolgens de namen van getroffen organisaties.

Als het gevraagde losgeld niet wordt betaald dreigt de groep de gestolen data te publiceren. Progress Software, de ontwikkelaar van MOVEit Transfer, heeft tot nu toe van 23 klanten bericht gehad dat ze door de aanval zijn getroffen. Een aantal van hen wil een schadevergoeding. Daarnaast is Progress onderdeel van 58 massaclaims die zijn aangespannen door personen van wie gegevens bij de zeroday-aanval zijn gestolen.

Welltok stelt dat het op 26 juli werd ingelicht over een aanval op de eigen MOVEit-server. Verder onderzoek wees uit dat aanvallers van 8,5 miljoen patiënten de gegevens hebben gestolen. Het gaat om naam, geboortedatum, social-securitynummer, behandelgegevens, diagnoses, medicijninformatie, behandelkosten en informatie over de zorgverzekering, alsmede contactgegevens zoals adresgegevens, telefoonnummer en e-mailadres.

Noindex
TechCrunch ontdekte dat Welltok in de eigen melding over het datalek de code “noindex” heeft opgenomen, waarmee het zoekmachines aangeeft om de pagina niet te indexeren, waardoor het lastiger voor gedupeerden wordt om de betreffende pagina te vinden. Volgens securitybedrijf Emsisoft zijn 2629 organisaties slachtoffer van de MOVEit-aanval geworden, waarbij de gegevens van in totaal 82,3 miljoen personen zijn gestolen. De diefstal bij Welltok staat op de tweede plek, achter Maximus. Bij de Amerikaanse dienstverlener werden gegevens van 11,3 miljoen individuen buitgemaakt.

Security.nl