Episource-inbreuk op gezondheidstechnologiebedrijf UnitedHealth-Linked raakt 5,4 miljoen patiënten

Episource, een bedrijf dat is gespecialiseerd in medische facturering, informeert momenteel meer dan 5,4 miljoen mensen in de Verenigde Staten dat hun persoonlijke en medische gegevens eerder dit jaar zijn gestolen bij een cyberaanval.

Dit incident, dat gevolgen heeft voor een groot aantal Amerikanen, geldt als een van de grootste datalekken in de gezondheidszorg die tot nu toe in 2025 zijn gemeld, zo blijkt uit gegevens van het Amerikaanse ministerie van Volksgezondheid en Sociale Zaken.

Episource, onderdeel van Optum, een dochteronderneming van UnitedHealth Group, speelt een cruciale rol in de gezondheidszorg. Als medisch factureringsbedrijf werkt het samen met artsen, ziekenhuizen en andere zorgverleners om declaraties via zorgverzekeraars te verwerken. Dit betekent dat ze enorme hoeveelheden gevoelige patiëntgegevens verwerken.

Episource meldde in kennisgevingen aan autoriteiten in Californië enVermont dat een cybercrimineel ongeautoriseerde toegang tot hun systemen had verkregen. Het bedrijf ontdekte op 6 februari 2025 ongebruikelijke activiteit in hun computersystemen.

Uit onderzoek is gebleken dat de aanvaller tussen 27 januari 2025 en 6 februari 2025 verschillende soorten patiënt- en lidgegevens uit de systemen van Episource heeft kunnen bekijken en kopiëren.

Hoewel Episource de specifieke aard van de aanval niet openbaar heeft gemaakt, heeft Sharp Healthcare, een van de klanten die getroffen is door de inbreuk, zijn klanten laten weten dat het incident werd veroorzaakt door ransomware.

"Op 24 april 2025 bevestigde Episource, een zakenpartner van Sharp HealthCare en Sharp Community Medical Group, dat Sharp een van hun klanten was die getroffen was door een ransomware-datalek", aldus het bedrijf in zijn melding van het lek .

De gestolen informatie is uitgebreid en omvat gevoelige persoonlijke en medische gegevens. Het gaat hierbij om basiscontactgegevens zoals namen, post- en e-mailadressen en telefoonnummers.

Nog belangrijker was dat de inbreuk beschermde gezondheidsgegevens blootlegde, zoals medische dossiernummers, informatie over artsen, diagnoses, medicijnen, testresultaten, beeldvorming en details over zorg en behandeling. Daarnaast werden ook gegevens van zorgverzekeringen, waaronder zorgplannen, polisgegevens en ledennummers, buitgemaakt.

Episource begon op 23 april 2025 met het informeren van getroffen klanten over de specifieke betrokken gegevens. Het bedrijf heeft sindsdien maatregelen genomen om zijn computersystemen te versterken en heeft de politie ingeschakeld om het incident te onderzoeken.

Om de getroffenen te helpen, biedt Episource twee jaar lang gratis kredietbewaking en bescherming tegen identiteitsdiefstal aan via IDX. Individuen kunnen zich tot 11 oktober 2025 voor deze diensten inschrijven.

Het bedrijf adviseert iedereen om de verklaringen van zorgverleners, verzekeraars en financiële instellingen zorgvuldig te controleren op verdachte activiteiten en eventuele zorgen onmiddellijk te melden bij de bevoegde autoriteiten.

" Deze inbreuk geeft aan dat dreigingsactoren hun focus verleggen van ziekenhuizen en klinieken naar externe aanbieders, omdat ze met deze aanpak toegang krijgen tot enorme hoeveelheden PHI tegelijk " , aldus de heer Piyush Pandey , CEO bij Pathlock.

" Zodra kwaadwillenden deze gegevens in handen krijgen, kunnen ze deze jarenlang misbruiken voor zeer gepersonaliseerde oplichtings- en chantagecampagnes. Een inbreuk op deze schaal leidt tot compliancerisico's en strengere regelgeving voor elke entiteit in de zorgtoeleveringsketen ", benadrukte hij.

Dit is het tweede grote datalek in verband met UnitedHealth Group in iets meer dan een jaar tijd. HackRead meldde eerder dat een ransomware-aanval op de Change Healthcare-divisie van UnitedHealth in februari 2024 gegevens van zo'n 190 miljoen Amerikanen blootlegde, wat het een van de grootste datalekken in de gezondheidszorg ooit maakte.

Nu heeft het aan UnitedHealth gelieerde bedrijf Episource opnieuw te maken gehad met een inbreuk. Hierbij zijn 5,4 miljoen patiënten getroffen. Dit toont aan dat er sprake is van een problematisch patroon van kwetsbaarheid voor de cyberbeveiliging bij alle entiteiten die met UnitedHealth zijn verbonden.