Tandvårdsadministratören DentaQuest har drabbats av ett allvarligt dataintrång. Hackergruppen ShinyHunters uppger sig ha stulit över 234 gigabyte data från företaget och har publicerat informationen sedan förhandlingar med DentaQuest misslyckades.

Intrånget exponerade uppgifter från 2,6 miljoner konton. Enligt haveibeenpwned.com inkluderar det läckta materialet unika e-postadresser, fullständiga namn, adresser, telefonnummer, födelsedatum, kön, statliga ID-handlingar och sjukförsäkringsinformation.

ShinyHunters publicerar data

ShinyHunters är en välkänd hackergrupp som tidigare legat bakom stora intrång mot bland andra Ticketmaster, Santander Bank och flera andra globala organisationer. Gruppen försökte inledningsvis pressa DentaQuest på en lösensumma. När förhandlingarna inte ledde någonstans lade de ut hela datasetet på ett hackarforum.

DentaQuest administrerar tandvårdsförmåner för miljontals amerikaner, många via statliga program som Medicaid. Det innebär att en stor del av de drabbade tillhör utsatta grupper som inte nödvändigtvis har enkel tillgång till identitetsskydd eller kreditövervakning.

Känslig hälsodata i fel händer

Det som gör det här intrånget extra allvarligt är kombinationen av uppgifter. Namn, adress och e-post är illa nog, men tillsammans med sjukförsäkringsinformation och statliga ID-handlingar skapas ett fullständigt profil som kan användas för identitetsstöld, försäkringsbedrägerier och riktade nätfiskeattacker.

Hälsodata är eftertraktat på den svarta marknaden just för att det är svårt att ändra. Du kan byta lösenord och till och med personnummer i vissa länder, men du kan inte ändra din sjukhistoria.

Vad det betyder för företag

Det här är ännu ett exempel på att leverantörer och tredjepartsadministratörer utgör en sårbar länk i säkerhetskedjan. DentaQuest hanterar data åt andra organisationer, och när de drabbas sprider sig konsekvenserna till deras kunder och partners.

För svenska företag som hanterar hälsorelaterad information eller anlitar tredjepartsadministratörer gäller det att ställa tydliga krav: Hur krypteras data i vila och under överföring? Hur snabbt kan ett intrång upptäckas och begränsas? Finns det rutiner för att informera drabbade i tid?

Berörda användare bör vara extra vaksamma mot misstänkta mejl och samtal, och kontrollera om deras uppgifter dykt upp i läckor via tjänster som haveibeenpwned.com.