Scripts Express: 700,000 notificados después de la extorsión

Casi un año después de ser pirateado por extorsionadores informáticos, la empresa de gestión de beneficios farmacéuticos Express Scripts ahora dice que cientos de miles de miembros pudieron haber violado su información debido al incidente.

En noviembre pasado, la compañía informó que alguien había amenazado con exponer millones de registros de prescripción de clientes, pero ha sido criticado por ser vago sobre cuántos de los registros de sus clientes se han accedido. Ahora la compañía dice que se notificaron alrededor de 700,000.

El problema comenzó para la compañía con sede en St. Louis en octubre de 2008, cuando recibió una carta con los nombres, fechas de nacimiento, números de seguridad social y datos de prescripción de 75 pacientes. Los extorsionadores amenazaron con hacer pública la información si no se les pagaba. Express Scripts se negó y, en su lugar, se lo notificó al Buró Federal de Investigaciones de EE. UU. La compañía ahora ofrece una recompensa de US $ 1 millón por información que conduzca al arresto de los perpetradores.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Express Script no ha dicho cómo lograron los delincuentes obtener retener los datos, pero en una declaración por correo electrónico la compañía dijo que "no se han reportado casos de uso indebido de la información de los miembros como resultado del incidente".

En una presentación ante el tribunal de junio, la compañía dijo que tres de ellos los extorsionistas también se han acercado a los clientes.

Toyota es una de esas compañías. En noviembre de 2008 recibió una carta similar a la amenaza de October Express Scripts, de extorsionistas que amenazaron con divulgar información sobre los empleados de Toyota y sus dependientes.

Express Scripts administra los beneficios de farmacia para corporaciones y agencias gubernamentales. Informó $ 22 mil millones en ingresos el año pasado.

Los clientes no son las únicas personas a las que se han acercado los delincuentes. Hace unas semanas, un bufete de abogados no identificado también recibió más registros, según la vocera de Express Scripts Maria Palumbo. Esa firma entregó los registros al FBI de EE. UU., Que a su vez informó a Express Scripts.

"A fines de agosto de 2009, el FBI informó a Express Scripts que el autor del crimen había actuado recientemente para demostrar que posee más registros de miembros del mismo período que los identificados en el intento de extorsión de 2008 ", dijo la compañía en su sitio web. "Express Scripts está en el proceso de notificar a estos miembros".

En mayo, Washington, D.C., la firma de abogados Finkelstein Thompson presentó una demanda colectiva contra Express Scripts en nombre de los miembros cuyos datos fueron robados. Los abogados de la firma no devolvieron los mensajes en busca de comentarios sobre esta historia.

Es preocupante que Express Scripts aparentemente no haya podido averiguar exactamente a qué datos se tuvo acceso, dijo Dissent, un profesional de la salud que administra el sitio web de Databreaches.net. y usa un seudónimo para mantener su defensa de la privacidad separada de su práctica profesional. "Dado que es posible que aún no conozcan el alcance total de este incidente y que realmente no podemos estar seguros de que el extorsionista no haya adquirido toda la base de datos, parece prudente notificar a todos los que tienen registros en la base de datos", escribió. en una entrevista por correo electrónico.

"Este incumplimiento ciertamente no es la violación más grande que involucra información de salud personal que hemos visto", dijo. "Sin embargo, es una infracción muy preocupante porque señala que los ciberdelincuentes están reconociendo el valor de las bases de datos que contienen información del paciente, incluso cuando no se incluye información financiera o de tarjeta de crédito".