Badan federal Pusat Layanan Medicare dan Medicaid (CMS) mengumumkan awal bulan ini bahwa informasi kesehatan dan pribadi lebih dari tiga juta penerima manfaat rencana kesehatan terekspos dalam Serangan MOVEit Ransomware Cl0p dilakukan tahun lalu.
Para peretas mencuri data setelah membobol perusahaan asuransi kesehatan Wisconsin Physicians Service (WPS), yang menyediakan layanan administratif Medicare.
CMS adalah lembaga federal dalam HHS yang mengelola program perawatan kesehatan utama negara, termasuk Medicaid dan CHIP.
Lembaga ini mengawasi program untuk memastikan program tersebut memenuhi standar federal, menyediakan dukungan pendanaan, menegakkan kebijakan dan regulasi, memantau kualitas dan biaya, serta membantu mengatur pasar asuransi kesehatan Undang-Undang Perawatan Kesehatan Terjangkau (ACA).
Siaran pers dari CMS pada tanggal 6 September menginformasikan bahwa agensi dan WPS telah memberitahukan 946.801 individu dengan Medicare tentang informasi identitas pribadi yang terungkap dalam serangan MOVEit yang terjadi lebih dari setahun yang lalu.
Pada hari yang sama, badan federal melaporkan di portal pelanggaran Departemen Kesehatan dan Layanan Kemanusiaan AS (HSS) bahwa jumlah total orang yang informasinya dicuri adalah 3.112.815 individu.
Dalam klarifikasinya kepada BleepingComputer, juru bicara CMS menjelaskan bahwa perbedaan tersebut mewakili orang-orang yang telah meninggal dunia atau bukan penerima Medicare, tetapi WPS telah mengumpulkan data mereka sebagai bagian dari pekerjaan mereka untuk CMS.
Menurut siaran pers CMS, WPS menerapkan pembaruan keamanan dari Progress Software, pengembang MOVEit Transfer, pada awal Juni 2023 dan saat itu berasumsi bahwa sistemnya aman.
Namun, tinjauan atas insiden pada bulan Mei 2024 mengungkapkan bahwa para peretas telah membobol jaringan WPS sebelum perusahaan menerapkan patch keamanan dan mencuri file-file tertentu.
Pada tanggal 8 Juli 2024, saat masih mengevaluasi konten file yang dicuri, CMS menentukan bahwa file tersebut berisi, antara lain, informasi berikut:
- Nama
- Nomor Jaminan Sosial atau Nomor Pokok Wajib Pajak Perorangan
- Tanggal lahir
- Alamat Surat
- Jenis kelamin
- Nomor Rekening Rumah Sakit
- Tanggal Layanan
- Pengidentifikasi Penerima Manfaat Medicare (MBI) dan/atau Nomor Klaim Asuransi Kesehatan
Saat penyelidikan insiden ini terus berlanjut, individu yang terkena dampak ditawarkan layanan pemantauan kredit gratis selama 12 bulan oleh Experian untuk mengurangi risiko yang timbul akibat paparan data mereka.
Meskipun Cl0p mengklaim bahwa mereka akan menghapus data milik rumah sakit, organisasi perawatan kesehatan, dan entitas pemerintah AS, secara praktis mustahil bagi siapa pun untuk menjamin bahwa data yang dicuri tersebut tidak dibagikan atau dijual di web gelap.
