IBM

Johnson & Johnson Health Care Systems (「ヤンセン」) は、CarePath の顧客に対し、IBM が関与したサードパーティによるデータ侵害により機密情報が侵害されたことを通知しました。

IBM は Janssen のテクノロジー サービス プロバイダーです。具体的には、CarePath アプリケーションとその機能をサポートするデータベースを管理します。

CarePath は、患者がヤンセンの医薬品を利用できるようにすること、対象となる処方箋の割引やコスト削減のアドバイスを提供すること、保険適用に関するガイダンスを提供すること、薬剤の補充や管理に関するアラートを提供することを目的として設計されたアプリケーションです。

Janssen のサイトの通知によると、この製薬会社は、権限のないユーザーに CarePath データベースへのアクセスを与える可能性がある、これまで文書化されていない方法を認識しました。

同社はこの件を IBM に報告し、IBM は直ちにセキュリティ上のギャップを修正し、誰かがこの欠陥を悪用したかどうかを評価するための内部調査を開始しました。

残念ながら、2023 年 8 月 2 日に終了した調査では、権限のないユーザーが次の CarePath ユーザー詳細にアクセスしたことが判明しました。

  • フルネーム
  • 連絡先
  • 生年月日
  • 健康保険情報
  • 薬剤情報
  • 病状情報

この暴露は、2023 年 7 月 2 日より前にヤンセンのオンライン サービスに登録した CarePath ユーザーに影響を及ぼします。これは、侵害がその日に発生したか、侵害されたデータベースがバックアップであったことを示している可能性があります。

社会保障番号と金融口座データは侵害されたデータベースに保存されていなかったため、これらの重要な詳細は暴露されていません。

また、製薬会社は、今回のセキュリティインシデントはヤンセン氏の肺高血圧症患者には影響しないことを明らかにした。

侵害されたデータは、非常に効果的なフィッシング、詐欺、ソーシャル エンジニアリング攻撃をサポートする可能性があり、医療データの価値を考慮すると、ダークネット市場で高額で販売される可能性が高くなります。

IBMはこの事件について別の発表を発表し、盗まれたデータが悪用された形跡はないとしている。それでもIBMは、Janssen CarePathユーザーに対し、不審なアクティビティがないかアカウント明細を注意深く監視し、警戒を続けるよう促している。

また、テクノロジー大手は現在、詐欺から守るために、影響を受けるすべての個人に 1 年間の信用監視を無料で提供しています。

どちらのアナウンスもフリーダイヤルの番号を共有しており、プロバイダーとユーザーはこの番号に電話して、事件に関する質問に答えたり、信用監視サービスへの登録に関するサポートを受けたりすることができます。

IBM も、今年初めに悪名高い攻撃者が世界中の多くの組織で使用されているMOVEit Transfer ソフトウェアのゼロデイ脆弱性を悪用した Clop ランサムウェアによって侵害された数百の企業の 1 つです。

数週間前、コロラド州医療政策・財政局(HCPF)は400万人の個人に対し、IBMへの侵害により個人データと医療データが流出したと通知した

ただし、ヤンセンの侵害がその事件に関連しているのか、それとも別の攻撃者がそれを引き起こしたのかは不明です。

は、この件と何人が影響を受けたかについて IBM に問い合わせました。同社の回答をもとにこの投稿を更新します。