Uno de los laboratorios de patología más grandes de Australia, Australian Clinical Labs (ACL), ha sido criticado por esperar cinco meses para informar a los pacientes que sus datos habían sido robados y filtrados a la dark web.
El jueves, ACL, que tiene ingresos anuales de casi mil millones de dólares, hizo un anuncio de ASX en el que declaró que Medlab Pathology había sido objeto de un incidente cibernético notificable que data de febrero de 2022.
Como resultado, se accedió a la información personal de alrededor de 223.000 pacientes y personal. La mayoría de los afectados son de NSW y Queensland.
Esto incluyó los registros médicos y de salud individuales (asociados con una prueba de patología) de 17 539 personas, 28 286 números de tarjetas de crédito y nombres de personas (incluidos alrededor de 3375 códigos CVV) y 128 608 números de Medicare que se adjuntaron a un nombre.
Cuestionan el retraso ‘más peculiar’ de ACL
En la declaración de ACL compartida con ASX, la compañía dijo que “inmediatamente coordinó una investigación forense dirigida por expertos cibernéticos externos independientes” al darse cuenta del acceso no autorizado de terceros.
Si bien la búsqueda inicial no mostró que los datos se hubieran visto comprometidos, el Centro Australiano de Seguridad Cibernética (ACSC) alertó a la empresa en marzo de que Medlab podría haber estado involucrado en un incidente de ransomware. Una solicitud posterior de información confirmó las creencias originales de ACL de que no se había comprometido ningún dato.
Tres meses después, el ACSC intensificó la preocupación de que los datos comprometidos se hubieran compartido en la web oscura.
A pesar del conocimiento de los datos comprometidos que se remontan a junio, un profesor de Cibercrimen, Ciberguerra y Ciberterror en la Universidad de Nueva Gales del Sur, el profesor Richard Buckland dijo a ABC News que era «muy peculiar» que la fuga no se informara más cerca del descubrimiento de que había sido publicado en la dark web.
“Incluso cuando encontraron que [data] habían sido tomados, parece que pasaron meses antes de que realmente le dijeran al público que perdieron toda su información, detalles de la tarjeta de crédito, y demás”, dijo.
Esto significaba que los delincuentes podrían haber accedido a los datos robados para cometer actos como robo de identidad, estafas financieras a través de la suplantación de identidad.
“Cada información sobre usted se puede combinar con otras piezas para aumentar la posibilidad de que alguien pueda hacerse pasar por usted y robar su identidad”, dijo.
“Y, en este caso, los números de tarjeta de crédito y los números de CVV les permiten hacerse pasar por ti y realizar números de tarjeta y transacciones. Ese es un costo inmediato”.
En respuesta, ACL atribuyó la demora a la «naturaleza altamente compleja y no estructurada del conjunto de datos que se está investigando».
“A los analistas y expertos forenses les ha llevado hasta ahora determinar las personas y la naturaleza de su información involucrada”, dijeron.
CEO de ACL: ‘Nos disculpamos sinceramente’
La directora ejecutiva del gigante de la patología, Melinda McGrath, también se disculpó con los clientes y dijo que la compañía continuaría trabajando con los organismos pertinentes.
“En nombre de Medlab, nos disculpamos sinceramente y lamentamos profundamente que haya ocurrido este incidente”, dijo en el comunicado de ASX.
“Reconocemos la preocupación y las molestias que este incidente puede causar a quienes han utilizado los servicios de Medlab y han tomado medidas para identificar a las personas afectadas.
ACL ha anunciado que ahora se comunicará con todas las personas afectadas, con equipos dedicados disponibles para ofrecer orientación, remediación y apoyo contra el estrés.
También se ofrecerá monitoreo de crédito gratuito y reemplazo de identificación a las personas que puedan estar en riesgo de fraude crediticio y de identidad.
News.com.au se acercó a ACL para hacer comentarios, sin embargo, no respondieron en el momento de la publicación.
