Naruszenie bezpieczeństwa Episource, firmy technologicznej powiązanej z UnitedHealth, dotknęło 5,4 mln pacjentów

Episource, firma specjalizująca się w rozliczeniach medycznych, poinformowała już ponad 5,4 miliona osób w Stanach Zjednoczonych, że ich dane osobowe i medyczne zostały skradzione w wyniku cyberataku, który miał miejsce na początku tego roku.

Jak wynika z danych Departamentu Zdrowia i Opieki Społecznej USA, incydent ten, który dotknął znaczną liczbę Amerykanów, stanowi poważne naruszenie danych w ochronie zdrowia odnotowane do tej pory w 2025 roku.

Episource, będący częścią Optum, spółki zależnej UnitedHealth Group, odgrywa kluczową rolę w systemie opieki zdrowotnej. Jako firma zajmująca się rozliczeniami medycznymi, współpracuje z lekarzami, szpitalami i innymi podmiotami świadczącymi usługi opieki zdrowotnej w zakresie przetwarzania roszczeń za pośrednictwem ubezpieczeń zdrowotnych. Oznacza to, że przetwarza ogromne ilości poufnych danych pacjentów.

W zawiadomieniach złożonych władzom Kalifornii iVermont , Episource poinformowało o nieautoryzowanym dostępie cyberprzestępcy do ich systemów. Firma wykryła nietypową aktywność w swoich systemach komputerowych 6 lutego 2025 roku.

Śledztwo wykazało, że w okresie od 27 stycznia 2025 r. do 6 lutego 2025 r. atakujący był w stanie przeglądać i kopiować różnego rodzaju dane pacjentów i członków z systemów Episource.

Chociaż Episource nie ujawnił publicznie szczegółów ataku, Sharp Healthcare, jeden z klientów firmy, którego dane zostały naruszone, poinformował swoich klientów, że przyczyną incydentu było oprogramowanie wymuszające okup.

„24 kwietnia 2025 r. Episource, partner biznesowy Sharp HealthCare i Sharp Community Medical Group, potwierdził, że Sharp był jednym z ich klientów, którzy padli ofiarą naruszenia bezpieczeństwa danych spowodowanego oprogramowaniem ransomware” – zauważyła firma w swoim powiadomieniu o naruszeniu .

Skradzione informacje są obszerne i obejmują poufne dane osobowe i zdrowotne. Obejmują one podstawowe dane kontaktowe, takie jak imiona i nazwiska, adresy pocztowe i e-mail oraz numery telefonów.

Co ważniejsze, naruszenie ujawniło chronione dane medyczne, takie jak numery dokumentacji medycznej, informacje o lekarzach, diagnozy, leki, wyniki badań, badania obrazowe oraz szczegóły dotyczące opieki i leczenia. Ponadto, skradziono również informacje dotyczące ubezpieczenia zdrowotnego, w tym plany zdrowotne, szczegóły polis i numery członkowskie.

Firma Episource zaczęła informować klientów o konkretnych danych, których dotyczył incydent, 23 kwietnia 2025 r. Od tego czasu firma podjęła kroki w celu wzmocnienia swoich systemów komputerowych i nawiązała kontakt z organami ścigania w celu zbadania incydentu.

Aby pomóc osobom poszkodowanym, Episource oferuje dwa lata bezpłatnego monitorowania zdolności kredytowej i ochrony przed kradzieżą tożsamości za pośrednictwem IDX. Osoby zainteresowane mają czas do 11 października 2025 r. na zarejestrowanie się w tych usługach.

Firma zaleca wszystkim dokładne sprawdzanie oświadczeń dostawców usług opieki zdrowotnej, firm ubezpieczeniowych i instytucji finansowych pod kątem wszelkich podejrzanych działań. W przypadku jakichkolwiek wątpliwości należy niezwłocznie zgłaszać je odpowiednim organom.

„ To naruszenie bezpieczeństwa sygnalizuje, że atakujący przesuwają swoją uwagę ze szpitali i klinik na zewnętrznych dostawców, ponieważ takie podejście pozwala im uzyskać dostęp do ogromnej ilości chronionych informacji medycznych naraz ” – powiedział Piyush Pandey , dyrektor generalny Pathlock.

„ Gdy przeciwnicy zdobędą te dane, mogą je wykorzystywać przez wiele lat do wysoce spersonalizowanych oszustw i kampanii szantażu. Naruszenie bezpieczeństwa na taką skalę zwiększa ryzyko braku zgodności i prowadzi do bardziej rygorystycznej kontroli regulacyjnej dla każdego podmiotu w łańcuchu dostaw w sektorze opieki zdrowotnej ” – podkreślił.

To już drugi poważny wyciek danych powiązany z UnitedHealth Group w ciągu nieco ponad roku. HackRead donosił wcześniej , że atak ransomware na oddział Change Healthcare należący do UnitedHealth w lutym 2024 roku ujawnił dane około 190 milionów Amerykanów, co czyni go jednym z największych wycieków danych w historii opieki zdrowotnej.

Teraz firma Episource, powiązana z UnitedHealth, padła ofiarą kolejnego naruszenia bezpieczeństwa, które dotknęło 5,4 miliona pacjentów. Świadczy to o problematycznym wzorcu podatności na cyberataki w podmiotach powiązanych z UnitedHealth.