Ampliar / Logotipo de Rite Aid exhibido en una de sus tiendas. Getty Images Rite Aid, la tercera cadena de farmacias más grande de Estados Unidos, dijo que más de 2,2 millones de sus clientes se han visto afectados por una filtración de datos que robó información personal, incluidos números de licencia de conducir, direcciones y fechas de nacimiento. La compañía dijo en presentaciones obligatorias ante los fiscales generales de estados como Maine, Massachusetts, Vermont y Oregón que los datos robados estaban asociados con compras o intentos de compra de productos minoristas realizados entre el 6 de junio de 2017 y el 30 de julio de 2018. Los datos proporcionados incluían el nombre del comprador, la dirección, la fecha de nacimiento y el número de licencia de conducir u otra forma de identificación emitida por el gobierno. No se incluyeron números de seguro social, información financiera o información del paciente. «El 6 de junio de 2024, un tercero desconocido se hizo pasar por un empleado de la empresa para comprometer sus credenciales comerciales y obtener acceso a ciertos sistemas comerciales», afirma la presentación. “Detectamos el incidente en 12 horas e inmediatamente iniciamos una investigación interna para terminar con el acceso no autorizado, reparar los sistemas afectados y determinar si se vio afectado algún dato de los clientes”. RansomHub, el nombre de un grupo de ransomware relativamente nuevo, se atribuyó el mérito del ataque, que según dijo arrojó más de 10 GB de datos de clientes. RansomHub surgió a principios de este año como una versión renombrada de un grupo conocido como Knight. Según la empresa de seguridad Check Point, RansomHub se convirtió en el grupo de ransomware más frecuente después de una operación internacional de las fuerzas del orden en mayo que derribó gran parte de la infraestructura utilizada por el grupo rival de ransomware Lockbit. En su sitio web oscuro, RansomHub dijo que estaba en etapas avanzadas de negociación con los funcionarios de Rite Aid cuando la compañía cortó repentinamente las comunicaciones. Un funcionario de Rite Aid no respondió a las preguntas enviadas por correo electrónico. Rite Aid también se negó a decir si la cuenta del empleado comprometida en la violación estaba protegida por autenticación multifactor. Rite Aid tiene más de 1.700 tiendas en 16 estados. En su último trimestre fiscal, que finalizó el 3 de junio, registró ventas por 5.700 millones de dólares. La cadena se declaró en quiebra en octubre, en gran medida para buscar protección frente a demandas judiciales relacionadas con la crisis de los opioides. Rite Aid es demandada en varias demandas derivadas de otra filtración de datos en mayo de 2023. La filtración anterior expuso los nombres de los pacientes, las fechas de nacimiento, las direcciones, los datos de las recetas y los datos del seguro de más de 24.000 clientes. Rite Aid ya había informado de filtraciones en 2015, 2017 y 2018.