Violação de dados da Luxottica expõe informações de pacientes do LensCrafters e EyeMed

Views: 157
0 0
Read Time:3 Minute, 17 Second

Uma violação de dados sofrida pela Luxottica expôs as informações pessoais e de saúde dos pacientes de LensCrafters, Target Optical e EyeMed.

Grupo Luxottica S.p.A. é um conglomerado italiano de óculos e a maior empresa do mundo na indústria de óculos. Como uma empresa verticalmente integrada, a Luxottica projeta, fabrica, distribui e comercializa suas marcas de óculos, incluindo LensCrafters, Sunglass Hut, Apex by Sunglass Hut, Pearle Vision, Target Optical, Eyemed vision care plan e Glasses.com. Suas marcas mais conhecidas são Ray-Ban, Persol e Oakley. A Luxottica também fabrica óculos de sol e molduras para marcas de grife como Chanel, Prada, Giorgio Armani, Burberry, Versace, Dolce e Gabbana, Miu Miu e Tory Burch.

A empresa italiana emprega mais de 80 mil pessoas e gerou 9,4 bilhões em receita para 2019.

Luxottica foi atingida por um ataque de ransomware que ocorreu em 18 de setembro.

Em outubro, o site italiano “Difesa e Sicurezza” informou que os operadores de ransomware Nefilim postaram uma longa lista de arquivos que parecem pertencer à Luxottica.

A enorme quantidade de arquivos parece estar relacionada com o escritório pessoal e departamentos financeiros.

A análise dos arquivos vazados revelou que eles contêm informações confidenciais sobre o processo de recrutamento, currículos profissionais e informações sobre as estruturas internas do departamento de recursos humanos do Grupo.

Os dados financeiros expostos incluem orçamentos, análise de previsão de marketing e outros dados confidenciais.

Agora, a notícia de outra violação de dados virou manchete, uma falha de segurança expôs as informações pessoais e de saúde protegidas para pacientes de LensCrafters, Target Optical, EyeMed e outras práticas de cuidados oculares.

Os parceiros compartilham uma plataforma de agendamento de consultas baseada na Web que é usada pelos pacientes para agendar consultas on-line ou por telefone.

A Luxottica divulgou uma falha de segurança no pedido de agendamento de consultas que ocorreu em 5 de agosto de 2020.

De acordo com uma notificação de “Incidente de Segurança” emitida esta semana pela empresa, ela tomou conhecimento do hack em 9 de agosto e, após investigar o ataque, determinou em 28 de agosto que os atores da ameaça tiveram acesso às informações pessoais dos pacientes.

“Em 9 de agosto de 2020, Luxottica soube do incidente, conteve-o e imediatamente iniciou uma investigação para determinar a extensão do incidente. Em 28 de agosto de 2020, concluímos preliminarmente que o invasor pode ter acessado e adquirido informações do paciente”, diz a notificação de violação de dados da Luxottica.

A notificação confirma a exposição de informações, incluindo dados pessoais (PII) e informações de saúde protegidas (PHI), como condições médicas e histórico. Para alguns pacientes, as informações expostas incluíam números de cartão de crédito e cpf.

“As informações pessoais envolvidas neste incidente podem ter incluído: nome completo, informações de contato, data e hora da consulta, número da apólice de saúde e notas médicas ou de consulta que possam indicar informações relacionadas ao tratamento ocular, como prescrições, condições de saúde ou procedimentos”, alertou Luxottica.

A Luxottica está oferecendo um serviço gratuito de monitoramento de identidade de dois anos através do Kroll para aqueles pacientes que tiveram suas informações de pagamento e SSNs expostas.

No momento em que a empresa não está ciente de atividades fraudulentas abusando dos dados expostos, de qualquer forma, recomenda que seus pacientes permaneçam atentos a quaisquer atividades suspeitas e monitorem suas demonstrações de crédito e histórico.

“Recomendamos que todos os indivíduos potencialmente impactados tomem medidas para se proteger, por exemplo, monitorando de perto avisos de sua seguradora de saúde e prestadores de cuidados de saúde para atividades inesperadas.” afirma que a empresa é um comunicado publicado em um site criado após o incidente. “Se as informações do seu cartão de pagamento e/ou número da Previdência Social estiveram envolvidos neste incidente, isso será explicitamente declarado em sua carta.”

Em 27 de outubro, a empresa começou a notificar os usuários afetados.

FONTE: SECURITY AFFAIRS

Previous post Hackers usam RMS e Teamviewer para atacar empresas industriais
Next post Phishing criativo do Office 365 inverte imagens para evitar bots de detecção

Deixe um comentário