Community Health Systems (CHS), uno de los proveedores de atención médica más grandes de EE.UU., y que cuenta con 80 hospitales en 16 estados distintos, ha confirmado que piratas informáticos accedieron a la información personal y protegida de un millón de pacientes.
Así lo ha revelado en una presentación ante los reguladores en la que explica como la violación de datos deriva del uso del popular software de transferencia de archivos GoAnywhere MFT.
Se trata de una suerte de Dropbox o WeTransfer usado generalmente por grandes empresas para compartir y enviar grandes conjuntos de datos. Esta herramienta ha sido desarrollada por Fortra, en su día conocida como HelpSystems.
Fortra había informado recientemente a CHS de un incidente de seguridad que habría resultado en la divulgación no autorizada de datos de pacientes.
La compañía de salud no ha detallado qué datos exactamente habrían sido expuestos y caído en manos de los ciberdelincuentes. Se trataría de la segunda violación de datos que atañe a la firma en los últimos años.
Community Health Systems se ha comprometido a ofrecer a los afectados servicios de protección contra el robo de identidad y notificar a todos ellos. Además, asegura que no se ha producido una interrupción en la prestación de atención al paciente.
Hay muchas más empresas afectadas
Sin embargo, la dimensión del agujero de seguridad sería bastante más grande. El grupo de ransomware Clop ha aprovechado esta vulnerabilidad para robar datos de más de 130 organizaciones, según han compartido con la web especializada Bleeping Computer.
El exploit de día cero de GoAnywhere se estaría explotando activamente. Para tratar de evitar males mayores Fortra lanzó un parche de emergencia , la versión 7.1.2, el pasado 7 de febrero, instando a todos los clientes a aplicarlo lo antes posible.
"Particularmente para los clientes que ejecutan un portal de administración expuesto a Internet, consideramos que este es un asunto urgente", señalaba la compañía.
La agencia dedicada a la cibeseguridad en EE.UU., CISA, ha incorporado el exploit a su catálogo público de vulnerabilidades conocidas y pedido a todas las agencias que parcheen sus sistemas antes del 3 de marzo.