Notificación de infracción,Gestión de fraude y delitos cibernéticos,Atención médica InfoSys McCamish Systems alertó anteriormente a 57.000 clientes de Bank of America por una infracciónMarianne Kolbasuk McGee (HealthInfoSec) •28 de junio de 2024 Imagen: Infosys McCamish Systems Infosys McCamish Systems, un proveedor de servicios y productos de software de seguros, está notificando Casi 6,1 millones de personas fueron víctimas de un incidente de ransomware en 2023 que potencialmente afectó sus datos confidenciales, incluidos números de Seguro Social, tratamiento médico e información financiera y biométrica. Ver también: SASE unificado: la tercera era de la seguridad de la red IMS le dijo al fiscal general de Maine en un informe el jueves que el incidente de piratería, descubierto el 2 de noviembre de 2023, afectó a alrededor de 6,08 millones de personas, incluidos 11.866 residentes de Maine. IMS, que es una subsidiaria de InfoSys BPM Limited con sede en Atlanta, presentó un aviso ante la Comisión de Bolsa y Valores de EE. UU. el 3 de noviembre de 2023 para informar un incidente de ciberseguridad que involucraba la “no disponibilidad” de ciertos sistemas y aplicaciones IMS. En un aviso publicado en su sitio web, IMS dijo que el 2 de noviembre de 2023, la compañía se enteró de que ciertos sistemas IMS estaban cifrados por ransomware. «Ese mismo día, IMS comenzó una investigación con la asistencia de expertos en ciberseguridad externos, contratados a través de abogados externos, para determinar la naturaleza y el alcance de la actividad, ayudar con la contención y garantizar que no se realice ninguna actividad no autorizada», dice el comunicado. IMS también dijo que notificó de inmediato a las autoridades. La compañía dijo que desde entonces el incidente ha sido contenido y remediado. Una investigación forense cibernética determinó que se produjo actividad no autorizada entre el 29 de octubre y el 2 de noviembre de 2023. En febrero, IMS informó al fiscal general de Maine que el incidente afectó al cliente Bank of America y a unos 57.000 clientes del plan de compensación diferida (ver: Hack en Empresa de servicios de software afecta a 57.000 clientes de BoA). Desde entonces, la investigación en curso de IMS y la “revisión exhaustiva y que requiere mucho tiempo de los datos en cuestión” identificaron el alcance de la información personal que estaba sujeta a acceso y adquisición no autorizados, según el último informe de violación de la compañía a los reguladores de Maine. «IMS procesa datos en nombre de varias organizaciones como parte de la prestación de operaciones de mercado corporativo y empresarial para sus clientes», dice el aviso de infracción. “IMS ha notificado a aquellos clientes cuyos datos fueron objeto de acceso y adquisición no autorizados. Cuando se considera que IMS es el propietario de los datos, IMS está en el proceso de informar a las personas cuya información personal estuvo sujeta a acceso y adquisición no autorizados”. La investigación de la compañía determinó que los datos comprometidos en el incidente incluyen número de Seguro Social, fecha de nacimiento, tratamiento médico e información de registros, datos biométricos, dirección de correo electrónico y contraseña, número de licencia de conducir o número de identificación estatal, información de cuenta financiera, información de tarjeta de pago, número de pasaporte, número de identificación tribal y número de identificación militar de EE. UU. IMS dijo que no tiene conocimiento de ningún caso desde el incidente en el que la información personal afectada de las personas haya sido utilizada de manera fraudulenta. No obstante, IMS ofrece a las personas afectadas 24 meses de seguimiento gratuito de identidad y crédito. La firma dijo que también ha tomado medidas para reducir la probabilidad de que ocurra un evento similar en el futuro. «Continuamos realizando mejoras adicionales que fortalecen nuestra postura de ciberseguridad», dijo IMS en su aviso de incumplimiento. Litigios pendientes IMS ya se enfrenta a al menos dos demandas colectivas federales propuestas, que en mayo se consolidaron en un caso presentado en el Tribunal de Distrito de EE. UU. para el Distrito Norte de Georgia, relacionado con el incidente de piratería informática. Esas demandas fueron presentadas en marzo y mayo por dos demandantes que son clientes de Bank of America afectados por la infracción. La demanda en el caso consolidado alega, entre otras reclamaciones, que IMS fue negligente al no salvaguardar la información confidencial de identificación personal de los demandantes y miembros del grupo. La demanda busca daños financieros, así como medidas cautelares que exijan a IMS mejorar sus prácticas y controles cibernéticos, incluida la implementación y el mantenimiento de un programa integral de seguridad de la información. Un abogado que representa a IMS en su último informe de violación al fiscal general de Maine no respondió de inmediato a la solicitud de Information Security Media Group de información adicional sobre el incidente, incluido cuántos otros clientes, además de Bank of America, se vieron afectados por el ataque. La semana pasada, IMS informó que sus ingresos disminuyeron por primera vez en ocho años, cayendo un 4,3% a 442 millones de dólares en el año finalizado el 31 de diciembre de 2023. La compañía dijo que resolver el ciberataque disruptivo costó 30 millones de dólares, según un informe de Indian Medio de noticias de negocios LiveMint. URL de la publicación original: https://www.databreachtoday.com/insurance-software-vendor-notifies-61-million-2023-hack-a-25654