Express Scripts: 700.000 notificati dopo l'estinzione

Quasi un anno dopo essere stato violato da estorsori di computer, la società di gestione dei benefit per la farmacia Express Scripts ora dice che centinaia di migliaia di membri potrebbero aver violato le loro informazioni a causa dell'incidente.

Lo scorso novembre, la società ha riferito che qualcuno aveva minacciato di esporre milioni di documenti di prescrizione dei clienti, ma è stato criticato per essere stato vago su quanti dei suoi clienti hanno avuto accesso ai record. Ora la compagnia dice che ne sono stati notificati circa 700.000.

I problemi sono iniziati per la compagnia di St. Louis nell'ottobre 2008, quando ha ricevuto una lettera contenente i nomi, le date di nascita, i numeri di previdenza sociale e i dati di prescrizione di 75 pazienti. Gli estorsori hanno minacciato di rendere pubblica l'informazione se non fossero stati pagati. Express Scripts ha rifiutato e ha invece notificato l'U.S. Federal Bureau of Investigation. La società offre ora una ricompensa di 1 milione di dollari USA per informazioni che portano all'arresto degli autori.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Express Script non ha detto come i criminali sono riusciti a ottenere possesso dei dati, ma in una dichiarazione inviata via e-mail la società ha dichiarato che "non sono stati segnalati casi di abuso di informazioni sui membri risultanti dall'incidente."

In un deposito giudiziario di giugno, la società ha dichiarato che tre dei suoi i clienti sono stati contattati anche dagli estorsori.

Toyota è una di quelle aziende. Nel novembre 2008 ha ricevuto una lettera che era simile alla minaccia di October Express Scripts, da estorsori che minacciavano di rilasciare informazioni sui dipendenti Toyota e sui loro dipendenti.

Express Scripts gestisce i benefici della farmacia per le aziende e le agenzie governative. Lo scorso anno ha registrato entrate per $ 22 miliardi.

I clienti non sono le uniche persone che sono state contattate dai criminali. Poche settimane fa, uno studio legale non identificato è stato anche fornito con più documenti, secondo la portavoce di Express Scripts, Maria Palumbo. Quella ditta consegnò i documenti all'FBI degli Stati Uniti, che a sua volta informò gli Express Scripts.

"Alla fine di agosto 2009, l'Express Frip informava l'FBI che l'autore del crimine aveva recentemente intrapreso un'azione per dimostrare di possedere più record membri dello stesso periodo di quelli identificati nel tentativo di estorsione del 2008 ", ha detto la società sul suo sito Web. "Express Scripts è in procinto di notificare questi membri."

A maggio, Washington, D.C., lo studio legale Finkelstein Thompson ha proposto una causa collettiva contro Express Scripts a nome di membri i cui dati sono stati rubati. Gli avvocati dello studio non hanno restituito messaggi in cerca di commenti per questa storia.

È preoccupante che Express Scripts non sia stato in grado di capire esattamente a chi sono stati dati i dati, ha detto Dissent, un operatore sanitario che gestisce il sito Web Databreaches.net e usa uno pseudonimo per mantenere la sua difesa della privacy separata dalla sua pratica professionale. "Dato che potrebbero non conoscere ancora la portata completa di questo incidente e che non possiamo davvero essere sicuri che l'estorsore non abbia acquisito l'intero database, sembrerebbe prudente notificare a chiunque i record fossero presenti nel database", ha scritto in un'intervista via e-mail.

"Questa violazione non è certamente la più grande violazione che riguarda le informazioni sulla salute personale che abbiamo visto", ha detto. "Ma è comunque una violazione molto preoccupante perché segnala che i criminali informatici stanno riconoscendo il valore dei database contenenti informazioni sui pazienti anche dove non sono incluse informazioni finanziarie o relative alla carta di credito."