IRCNF
Security

ShinyHunters veröffentlicht 234 GB DentaQuest-Daten nach gescheiterter Lösegeldforderung – 2,6 Millionen Amerikaner gefährdet

Teilen:
ShinyHunters veröffentlicht 234 GB DentaQuest-Daten nach gescheiterter Lösegeldforderung – 2,6 Millionen Amerikaner gefährdet

Gesundheitsdaten haben eine lange Haltbarkeit – und Cyberkriminelle wissen das. ShinyHunters, die produktive Erpressergruppe, die für Dutzende großer Datenlecks in den letzten fünf Jahren verantwortlich ist, hat ihre Androhung gegen DentaQuest wahr gemacht und 234 Gigabyte gestohlener Daten nach dem Scheitern der Lösegeldverhandlungen öffentlich freigegeben.

Der Datenabfluss wurde diese Woche auf der Dark-Web-Leak-Seite von ShinyHunters veröffentlicht und markiert das Ende einer mehrmonatigen Erpressungskampagne gegen den in Massachusetts ansässigen Dentalleistungsverwalter. DentaQuest verwaltet die Zahnversicherung für Millionen von Amerikanern, hauptsächlich über Medicaid Managed Care Programme, was die Art der gestohlenen Daten besonders sensibel macht.

Was gestohlen wurde

Das 234-GB-Archiv ist umfangreich. Laut Sicherheitsforschern, die Stichproben der geleakten Daten untersucht haben, enthält es:

  • Vollständige Namen, Privatadressen und Telefonnummern von etwa 2,6 Millionen Personen
  • Geburtsdaten und Geschlechtsangaben
  • E-Mail-Adressen und kontobezogene Daten
  • Staatliche Ausweise, einschließlich Medicaid-Identifikationsnummern
  • Krankenversicherungsdetails – Plannamen, Mitgliedsnummern, Deckungsinformationen

Das Vorhandensein von Medicaid-Nummern ist besonders alarmierend. Medicaid-Nummern sind mit bundesstaatlichen Gesundheitsleistungsakten verknüpft und können in medizinischen Identitätsdiebstahlschemata verwendet werden – einer Form von Betrug, bei der gestohlene Anmeldedaten verwendet werden, um staatlichen Programmen nicht durchgeführte Verfahren in Rechnung zu stellen oder verschreibungspflichtige Medikamente unter dem Namen eines Opfers zu erhalten.

DentaQuests Reaktion

DentaQuest bestätigte einen sogenannten "Cybersicherheitsvorfall mit unbefugtem Zugriff auf einen begrenzten Teil unseres Netzwerks" und erklärte, das Unternehmen habe sofort Maßnahmen zur Eindämmung des Verstoßes ergriffen und Cybersicherheitsexperten, forensische Ermittler und Strafverfolgungsbehörden eingeschaltet. Das Unternehmen betont, seine Systeme seien während des gesamten Vorfalls betriebsfähig geblieben.

Die vorsichtige Formulierung – "begrenzter Teil unseres Netzwerks" – steht in einem unangenehmen Spannungsverhältnis zum Ausmaß des Lecks. ShinyHunters veröffentlichte 234 GB. Unabhängig von der technischen Definition von "begrenzt" stellen die persönlichen Gesundheits- und Regierungsausweisdaten von 2,6 Millionen Menschen eine schwerwiegende Gefährdung dar.

DentaQuest hat weder bestätigt, ob die Lösegeldforderung eingegangen ist, noch welche Summe gefordert wurde. Das Unternehmen hat noch nicht bekannt gegeben, wann der ursprüngliche Einbruch stattfand, obwohl das Muster von ShinyHunters darauf hindeutet, dass der Eindringling wahrscheinlich Wochen vor dem öffentlichen Leak erfolgte.

Das eskalierende Playbook von ShinyHunters

ShinyHunters ist heute eine der aktivsten und aggressivsten Erpressergruppen, mit einer Opferliste, die Ticketmaster (560 Millionen Datensätze im Jahr 2024), die Santander Bank und Dutzende anderer Unternehmen umfasst. Die Methodik der Gruppe ist konsistent: Ein Ziel angreifen, Daten exfiltrieren, eine private Lösegeldforderung stellen und dann alles veröffentlichen, wenn die Zahlung ausbleibt.

Was ShinyHunters besonders effektiv macht, ist ihre operative Professionalität. Sie unterhalten eine gut organisierte Dark-Web-Leak-Seite, überprüfen die Echtheit ihrer Daten durch Stichprobenveröffentlichungen vor dem vollständigen Dump und kommunizieren direkt mit Journalisten, um sicherzustellen, dass ihre Veröffentlichungen maximale Aufmerksamkeit erhalten. Dies zwingt die Opfer zu einer schwierigen Abwägung: Zahlen und möglicherweise weitere Angriffe provozieren oder ablehnen und zusehen, wie die Daten von Millionen Kunden öffentlich werden.

Das Problem der Gesundheitsdatenlecks

Dieser Vorfall fügt sich in ein äußerst beunruhigendes Muster ein. Gesundheitsorganisationen sind aufgrund der Sensibilität der von ihnen gehaltenen Daten und des operativen Drucks, Systeme schnell wiederherzustellen, zu bevorzugten Zielen von Ransomware und Erpressergruppen geworden. Das US-Gesundheitsministerium hat im letzten Jahrzehnt Hunderte von Gesundheitsdatenverstößen registriert, die jedes Jahr Millionen von Patienten betreffen.

Dentalleistungsverwalter nehmen in dieser Bedrohungslandschaft eine besondere Nische ein. Sie sitzen an der Schnittstelle von Gesundheitsdaten und staatlichen Leistungsprogrammen und verwalten die Art von Aufzeichnungen, die sowohl für Identitätsdiebstahl als auch für Versicherungsbetrug nützlich sind. Anders als bei einem Leck von beispielsweise E-Mail-Zugangsdaten – die geändert werden können – kann eine geleakte Medicaid-Nummer oder ein Geburtsdatum nicht widerrufen werden.

Was betroffene Personen tun sollten

Wenn Sie aktuelles oder ehemaliges Mitglied von DentaQuest sind, behandeln Sie Ihre Informationen als kompromittiert. Konkrete Schritte:

  • Überwachen Sie Ihre Explanation of Benefits (EOB)-Abrechnungen auf zahnärztliche Behandlungen, die Sie nicht erhalten haben
  • Überprüfen Sie Ihre Kreditauskünfte bei allen drei Auskunfteien – Equifax, Experian und TransUnion – auf neue Konten oder Anfragen, die Sie nicht veranlasst haben
  • Veranlassen Sie eine Kreditsperre, wenn Sie sich wegen Betrugs mit neuen Konten sorgen
  • Kontaktieren Sie Ihre staatliche Medicaid-Behörde, wenn Sie unerwartete Rechnungskorrespondenz oder Mitteilungen über nicht durchgeführte Behandlungen erhalten
  • Achten Sie auf Phishing-Versuche – geleakte E-Mail-Adressen werden routinemäßig in nachfolgenden Phishing-Kampagnen verwendet, die sich an Opfer von Datenlecks richten

Es wird erwartet, dass DentaQuest betroffene Personen benachrichtigt und Identitätsüberwachungsdienste anbietet, wie es HIPAA und die geltenden staatlichen Benachrichtigungsgesetze vorschreiben. Zum Zeitpunkt dieser Veröffentlichung wurden noch keine Benachrichtigungen versandt.

Teilen: