Johnson & Johnson Health Care Systems (Janssen) informierte kürzlich seine CarePath-Kunden über einen Datenverstoß durch einen Drittanbieter bei IBM, der zur Kompromittierung ihrer sensiblen Informationen führte. IBM ist ein Technologiedienstleister für Janssen und überwacht insbesondere die Verwaltung der CarePath-Anwendung und -Datenbank.
CarePath ist ein Softwareprogramm, das entwickelt wurde, um Patienten bei der Beschaffung von Janssen-Medikamenten zu unterstützen, Rabatte und kostensparende Tipps für Rezepte bereitzustellen, die Versicherungsberechtigung zu erläutern und Erinnerungen für die Medikamentenversorgung und -verwaltung bereitzustellen.
Das Pharmaunternehmen erfuhr von einer nicht dokumentierten Technik, die unbefugten Personen Zugang zur CarePath-Datenbank verschaffen könnte, so die Benachrichtigung auf der Website von Janssen. Anschließend informierte das Unternehmen IBM über das Problem, das schnell Maßnahmen zur Schließung der Sicherheitslücke ergriff und eine interne Untersuchung durchführte, um festzustellen, ob der Fehler von jemandem ausgenutzt wurde.
Die Untersuchung wurde am 2. August 2023 abgeschlossen und ergab, dass unbefugte Personen Zugriff auf folgende CarePath-Benutzerdaten hatten:
- Vollständiger Name
- Kontaktinformationen
- Geburtsdatum
- Krankenversicherungsinformationen
- Medikamenteninformationen
- Informationen zum Gesundheitszustand
Benutzer von CarePath, die sich vor dem 2. Juli 2023 für die Online-Dienste von Janssen angemeldet haben, sind von der Datenpanne betroffen. Dies könnte darauf hinweisen, dass der Vorfall an diesem Datum stattgefunden hat oder dass es sich bei der kompromittierten Datenbank um ein Backup handelte.
Da Sozialversicherungsnummern und Finanzkontodaten nicht in die betroffene Datenbank eingebunden waren, wurden keine sensiblen Details preisgegeben. Das Unternehmen gab außerdem bekannt, dass der Vorfall die Patienten von Janssen mit Lungenhochdruck nicht betrifft.
Angesichts der Bedeutung von medizinischen Daten besteht eine starke Wahrscheinlichkeit, dass die durchgesickerten Daten auf Darknet-Märkten zu einem hohen Preis verkauft werden könnten. Die kompromittierten Daten könnten äußerst effektive Phishing-, Betrugs- und Social Engineering-Angriffe unterstützen.
IBM hat ebenfalls eine Ankündigung zu dem Vorfall veröffentlicht und erklärt, dass es keine Anzeichen dafür gibt, dass die gestohlenen Daten ausgenutzt wurden. Dennoch empfiehlt es den Benutzern von Janssen CarePath, ihr Konto auf ungewöhnliche Aktivitäten zu überprüfen. Der Tech-Gigant bietet den betroffenen Personen nun ein kostenloses einjähriges Kreditmonitoring an, um sie vor Betrug zu schützen.
In beiden Ankündigungen sind gebührenfreie Telefonnummern enthalten, unter denen Kunden und Anbieter Fragen zum Vorfall stellen oder Unterstützung bei der Anmeldung für Kreditmonitoring-Dienste erhalten können. IBM ist eines der Unternehmen, die Anfang dieses Jahres von Clop-Ransomware kompromittiert wurden, als die berüchtigten Bedrohungsakteure eine Zero-Day-Schwachstelle in der von verschiedenen Organisationen weltweit verwendeten MOVEit Transfer-Software ausnutzten. Ein IBM-Sprecher bestätigte jedoch auf Anfrage, dass die aktuellen Angriffe tatsächlich separate Vorfälle sind, verursacht von unterschiedlichen Bedrohungsakteuren.