Das Software-as-a-Service (SaaS)-Unternehmen für das Gesundheitswesen Phreesia informiert mehr als 910.000 Personen darüber, dass ihre persönlichen Daten und Gesundheitsdaten bei einem Verstoß im Mai bei seiner im Oktober 2023 erworbenen Tochtergesellschaft ConnectOnCall offengelegt wurden.
ConnectOnCall ist eine Telemedizin-Plattform und ein Bereitschaftsdienst mit automatischer Verfolgung von Patientenanrufen für Gesundheitsdienstleister.
"Am 12. Mai 2024 erfuhr ConnectOnCall von einem Problem, das sich auf ConnectOnCall auswirkte, und leitete sofort eine Untersuchung ein und unternahm Schritte, um das Produkt zu sichern und die allgemeine Sicherheit seiner Umgebung zu gewährleisten", teilte das Unternehmen mit.
"Die Untersuchung von ConnectOnCall ergab, dass zwischen dem 16. Februar 2024 und dem 12. Mai 2024 ein unbekannter Dritter Zugang zu ConnectOnCall und bestimmten Daten innerhalb der Anwendung hatte, einschließlich bestimmter Informationen in der Kommunikation zwischen Anbieter und Patient."
Nach der Entdeckung der Sicherheitsverletzung informierte Phreesia die Strafverfolgungsbehörden des Bundes über den Vorfall und beauftragte externe Cybersicherheitsspezialisten mit der Untersuchung der Art und der Auswirkungen des Vorfalls.
Phreesia nahm auch ConnectOnCall vom Netz und arbeitet seitdem an der Wiederherstellung der Systeme in einer neuen und sichereren Umgebung.
Die Erklärung enthält zwar nicht die Gesamtzahl der betroffenen Personen, aber ConnectOnCall teilte dem US-Gesundheitsministerium mit, dass der Verstoß die geschützten Gesundheitsdaten von 914.138 Patienten betraf.
ConnectOnCall HHS Offenlegung
ConnectOnCall HHS Offenlegung (BleepingComputer)
Zu den persönlichen Daten, die während des fast dreimonatigen Verstoßes offengelegt wurden, gehören Informationen, die in der Kommunikation zwischen Patienten und ihren Gesundheitsdienstleistern ausgetauscht wurden, wie Namen und Telefonnummern.
Dazu gehören möglicherweise auch Krankenaktennummern, Geburtsdaten sowie Informationen über Gesundheitszustände, Behandlungen oder Verschreibungen und in einigen wenigen Fällen auch die Sozialversicherungsnummern der Betroffenen.
"Der ConnectOnCall-Dienst ist von den anderen Diensten von Phreesia, einschließlich unserer Plattform zur Patientenaufnahme, getrennt. Nach unseren bisherigen Untersuchungen gibt es keine Hinweise darauf, dass unsere anderen Dienste betroffen sind", so Phreesia in einer separaten Erklärung auf seiner offiziellen Website.
"Wir wissen, wie wichtig dieser Dienst für das Geschäft unserer Kunden ist, und wir arbeiten daran, den ConnectOnCall-Dienst so schnell wie möglich wiederherzustellen.
Phreesia riet potenziell betroffenen Personen außerdem, einen vermuteten Identitätsdiebstahl oder -betrug bei ihrer Versicherung, ihrer Krankenkasse oder ihrem Finanzinstitut zu melden, auch wenn das Unternehmen keine Beweise dafür hat, dass die preisgegebenen persönlichen Daten missbraucht wurden.
