Assicurano cure mediche a centinaia di milioni di americani, ma non sanno proteggerli dagli hacker. La newyorkese Excellus BlueCross BlueShield e un’azienda sua partner sono le ennesime vittime di un attacco hacker diretto verso le società assicurative che per i cittadini statunitensi sono il lasciapassare per ottenere assistenza medica e copertura in caso di incidenti. Secondo quanto ammesso dalla diretta interessata (una realtà no-profit, parte della Blue Cross Blue Shield Association), uno o più cybercriminali hanno avuto accesso a dieci milioni di record dai suoi database.
A preoccupare non sono soltanto i numeri, ma la tipologia di dati – anche sensibili – esposti alla violazione e soprattutto la serialità di questi episodi, spia di un problema di fondo riguardante il settore. Un caso altrettanto grave aveva investito lo scorso gennaio Anthem, compagnia assicurativa sanitaria sempre appartenete al gruppo Blue Cross Blue Shield: anche in quell’occasione, circa 10 milioni di utenti erano stati allertati sul possibile furto di nomi, indirizzi e numeri di previdenza sociale (negli Usa, il corrispondente del nostro codice fiscale).
A luglio, invece, il distretto sanitario californiano Ucla Health System aveva comunicato la violazione di 4,5 milioni di voci dei suoi archivi, contenenti informazioni sui pazienti. E ancora, il mese prima un dipendente di un ospedale di New York, il Montefiore Medical Center, era stato ritenuto complice in un’operazione di furto dei dati di 12mila persone.
Non molto si sa sulle tecniche utilizzate dai criminali per espugnare sistemi che dovrebbero essere inespugnabili, data la delicatezza delle informazioni che contengono e i loro potenziali utilizzi fraudolenti: dalla creazione di campagne di phishing mirate (tramite email ma anche attraverso annunci pubblicitari online ingannevoli) alle frodi bancarie e fiscali. Con una data di nascita, un numero di previdenza sociale e altre informazioni personali, un criminale potrebbe per esempio ottenere assistenza medica spacciandosi per qualcun altro, oppure aprire un conto bancario.
A detta della Excellus BlueCross BlueShield, i clienti interessati dalla violazione hacker sarebbero soprattutto residenti dello stato di New York (di Upstate New York, più precisamente) e al momento non ci sarebbero evidenze di frodi realizzate a partire da questo episodio. Oltre ad aver avviato un’investigazione con il supporto dell’Fbi, la compagnia assicurativa ha cercato di rimediare al danno regalando ai suoi clienti danneggiati una soluzione software che per due anni li proteggerà dai furti di identità.