A Episource, empresa que presta serviços de ajuste de faturamento para organizações do setor de saúde, informou que dados pessoais e informações médicas de aproximadamente 5,4 milhões de pessoas foram acessados e copiados durante um ataque cibernético concluído em 6 de fevereiro.
De acordo com comunicados enviados a autoridades da Califórnia e de Vermont, um invasor conseguiu visualizar e extrair registros armazenados nos sistemas da companhia ao longo de uma semana. Entre os dados obtidos estão nomes, endereços postais e de e-mail, números de telefone, números de prontuário, informações sobre médicos, diagnósticos, prescrições, resultados de exames, imagens, detalhes de tratamentos e dados de planos de saúde, como apólices e números de beneficiário.
A Episource pertence à Optum, subsidiária do grupo UnitedHealth, e lida com grandes volumes de informações de pacientes ao processar cobranças para médicos, hospitais e outros prestadores. Embora o comunicado da empresa não descreva o tipo de ataque, a Sharp Healthcare – cliente impactada pela mesma invasão – atribuiu o incidente a um software de ransomware.
O episódio soma-se a outras violações recentes envolvendo a UnitedHealth. Em fevereiro de 2024, a Change Healthcare, também controlada pelo grupo, sofreu um ataque de ransomware que resultou no vazamento de dados de mais de 190 milhões de norte-americanos, o maior incidente de privacidade já registrado no setor de saúde dos Estados Unidos. Meses depois, uma ferramenta interna da Optum ficou exposta na internet, permitindo acesso não autorizado a informações sobre solicitações de reembolso.
