Uma violação de dados sofrida pela Luxottica expôs as informações pessoais e de saúde dos pacientes de LensCrafters, Target Optical e EyeMed.
Grupo Luxottica S.p.A. é um conglomerado italiano de óculos e a maior empresa do mundo na indústria de óculos. Como uma empresa verticalmente integrada, a Luxottica projeta, fabrica, distribui e comercializa suas marcas de óculos, incluindo LensCrafters, Sunglass Hut, Apex by Sunglass Hut, Pearle Vision, Target Optical, Eyemed vision care plan e Glasses.com. Suas marcas mais conhecidas são Ray-Ban, Persol e Oakley. A Luxottica também fabrica óculos de sol e molduras para marcas de grife como Chanel, Prada, Giorgio Armani, Burberry, Versace, Dolce e Gabbana, Miu Miu e Tory Burch.
A empresa italiana emprega mais de 80 mil pessoas e gerou 9,4 bilhões em receita para 2019.
Luxottica foi atingida por um ataque de ransomware que ocorreu em 18 de setembro.
Em outubro, o site italiano “Difesa e Sicurezza” informou que os operadores de ransomware Nefilim postaram uma longa lista de arquivos que parecem pertencer à Luxottica.
A enorme quantidade de arquivos parece estar relacionada com o escritório pessoal e departamentos financeiros.
A análise dos arquivos vazados revelou que eles contêm informações confidenciais sobre o processo de recrutamento, currículos profissionais e informações sobre as estruturas internas do departamento de recursos humanos do Grupo.
Os dados financeiros expostos incluem orçamentos, análise de previsão de marketing e outros dados confidenciais.
Agora, a notícia de outra violação de dados virou manchete, uma falha de segurança expôs as informações pessoais e de saúde protegidas para pacientes de LensCrafters, Target Optical, EyeMed e outras práticas de cuidados oculares.
Os parceiros compartilham uma plataforma de agendamento de consultas baseada na Web que é usada pelos pacientes para agendar consultas on-line ou por telefone.
A Luxottica divulgou uma falha de segurança no pedido de agendamento de consultas que ocorreu em 5 de agosto de 2020.
De acordo com uma notificação de “Incidente de Segurança” emitida esta semana pela empresa, ela tomou conhecimento do hack em 9 de agosto e, após investigar o ataque, determinou em 28 de agosto que os atores da ameaça tiveram acesso às informações pessoais dos pacientes.
“Em 9 de agosto de 2020, Luxottica soube do incidente, conteve-o e imediatamente iniciou uma investigação para determinar a extensão do incidente. Em 28 de agosto de 2020, concluímos preliminarmente que o invasor pode ter acessado e adquirido informações do paciente”, diz a notificação de violação de dados da Luxottica.
A notificação confirma a exposição de informações, incluindo dados pessoais (PII) e informações de saúde protegidas (PHI), como condições médicas e histórico. Para alguns pacientes, as informações expostas incluíam números de cartão de crédito e cpf.
“As informações pessoais envolvidas neste incidente podem ter incluído: nome completo, informações de contato, data e hora da consulta, número da apólice de saúde e notas médicas ou de consulta que possam indicar informações relacionadas ao tratamento ocular, como prescrições, condições de saúde ou procedimentos”, alertou Luxottica.
A Luxottica está oferecendo um serviço gratuito de monitoramento de identidade de dois anos através do Kroll para aqueles pacientes que tiveram suas informações de pagamento e SSNs expostas.
No momento em que a empresa não está ciente de atividades fraudulentas abusando dos dados expostos, de qualquer forma, recomenda que seus pacientes permaneçam atentos a quaisquer atividades suspeitas e monitorem suas demonstrações de crédito e histórico.
“Recomendamos que todos os indivíduos potencialmente impactados tomem medidas para se proteger, por exemplo, monitorando de perto avisos de sua seguradora de saúde e prestadores de cuidados de saúde para atividades inesperadas.” afirma que a empresa é um comunicado publicado em um site criado após o incidente. “Se as informações do seu cartão de pagamento e/ou número da Previdência Social estiveram envolvidos neste incidente, isso será explicitamente declarado em sua carta.”
Em 27 de outubro, a empresa começou a notificar os usuários afetados.
FONTE: SECURITY AFFAIRS