أخفت شركة UnitedHealth إشعار خرق بيانات Change Healthcare لعدة أشهر

قالت شركة Change Healthcare، شركة التكنولوجيا الصحية المملوكة لشركة UnitedHealth والتي فقدت أكثر من 100 مليون بيانات صحية حساسة للأشخاص في هجوم برامج الفدية العام الماضي، يوم الثلاثاء إن الشركة أكملت “إلى حد كبير” إخطار الأفراد المتضررين بشأن الاختراق الضخم للبيانات.

أدى هجوم برامج الفدية في فبراير 2024 على شركة Change Healthcare، إحدى أكبر معالجات فواتير المرضى في الولايات المتحدة، إلى انقطاع الخدمة لمدة أشهر مما أدى إلى تعطيل الرعاية عبر نظام الرعاية الصحية في الولايات المتحدة. أصبح خرق البيانات أيضًا أكبر سرقة معروفة للبيانات الطبية في تاريخ الولايات المتحدة. دفعت شركة Change Healthcare فدية للمتسللين بهدف منعهم من نشر المزيد من البيانات المسروقة، وفي المقابل، حصلت على نسخة من البيانات المسروقة لبدء إخطار الأشخاص الذين تم أخذ معلوماتهم.

في تحديث لإشعار خرق البيانات على موقعها على الإنترنت يوم الثلاثاء، قالت شركة Change Healthcare إنها “أخطرت عملائها المتأثرين” الذين لدى الشركة عنوان بريدي مسجل لهم. وقال عملاق الرعاية الصحية إنه “قد لا يكون لديه عناوين كافية لجميع الأفراد المحتمل تأثرهم”، وأن إشعار الموقع كان “لتزويد العملاء والأفراد بمعلومات حول الهجوم السيبراني الإجرامي”.

ولكن إذا بحثت في الويب عن إشعار خرق بيانات Change Healthcare، فمن غير المرجح أن تجد صفحة الويب في نتائج محرك البحث.

تكشف مراجعة TechCrunch للكود المصدري لصفحة الويب الخاصة بإشعار الانتهاك عن تضمين برنامج Change Healthcare رمز “noindex” المخفي في الإشعار، والذي يخبر محركات البحث بتجاهل صفحة الويب، مما يجعل الأمر أكثر صعوبة على أي شخص يبحث في الويب عن الإشعار للعثور عليه في البحث نتائج. قامت منظمة Change Healthcare بتضمين رمز “noindex” في إشعار خرق البيانات الخاص بها منذ 20 نوفمبر 2024 على الأقل.

ليس من الواضح سبب قيام منظمة Change Healthcare بإخفاء الصفحة عن محركات البحث. ولم يعلق المتحدث باسم UnitedHealth، تايلر ماسون، على سبب تضمين Change Healthcare الكود لإخفاء إشعار خرق البيانات. عندما سئل، لم يتمكن المتحدث من تقديم عدد محدد من الأفراد الذين أخطرتهم منظمة Change Healthcare بالانتهاك بما يتجاوز العدد المقدر بـ 100 مليون الذي تمت مشاركته مع وزارة الصحة التابعة للحكومة الأمريكية في أكتوبر 2024.

ولم يستجب متحدث باسم مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية، والذي يشرف على التحقيقات الفيدرالية في انتهاكات البيانات المتعلقة بالمعلومات الصحية المحمية، لطلب التعليق على هذه المسألة.

تعرضت شركة Change Healthcare لانتقادات بسبب بطئها في إخطار الأفراد المتضررين بالانتهاك، حيث بدأت الشركة في القيام بذلك بعد أربعة أشهر فقط من تلقيها نسخة من الملفات المسروقة. ودفع التأخير في الكشف العلني العديد من الولايات الأمريكية، بما في ذلك كاليفورنيا وماساتشوستس ونبراسكا ونيوهامبشاير، إلى التدخل من خلال إخطار السكان بالبقاء في حالة تأهب لسرقة الهوية والاحتيال بعد خرق البيانات.

في ديسمبر 2024، رفعت نبراسكا دعوى قانونية ضد شركة Change Healthcare بسبب سلسلة من الإخفاقات الأمنية التي أدت إلى الاختراق. وقال المدعي العام للولاية، مايك هيلجرز، إن افتقار شركة Change Healthcare إلى الإخطار الكافي للأفراد المتضررين جعل مواطني الولاية “أكثر عرضة لاستغلال المعلومات الشخصية الحساسة المالية والصحية والمعلومات التعريفية”.