Express Scripts: 700,000 Notified After Extortion

Nesten ett år etter hacking av computer utpressinger, administrerende selskap for farmasøytiske selskaper Express Scripts sier nå at hundrevis av tusenvis av medlemmer kan ha fått sin informasjon brutt på grunn av hendelsen.

Selskapet rapporterte i november at noen hadde truet med å avsløre millioner av kundeordinære poster, men Det har kommet under kritikk for at det er uklart om hvor mange av kundenes poster som ble benyttet. Nå sier selskapet at rundt 700.000 har blitt varslet. Problemet startet for St. Louis-baserte selskapet i oktober 2008 da det mottok et brev som inneholdt navnene, fødselsdatoene, personnummer og reseptdata fra 75 pasienter. Utpressingene truet med å vende informasjonen offentlig hvis de ikke ble betalt. Express Scripts nektet og i stedet varslet US Federal Bureau of Investigation. Selskapet tilbyr nå en belønning på USD 1 million for informasjon som fører til arrestasjon av gerningsmennene.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Express Script har ikke sagt hvordan de kriminelle klarte å få hold i dataene, men i en e-post uttalelse sa selskapet at "det har ikke vært rapportert tilfeller av misbruk av medlemsinformasjon som følge av hendelsen."

I en rettssaksmelding i juni sa selskapet at tre av dens Kundene har også blitt kontaktet av extortionists.

Toyota er et av disse selskapene. I november 2008 mottok det et brev som lignet oktober Express Scripts-trusselen, fra utpressinger som truet med å gi ut informasjon om Toyota-ansatte og deres pårørende.

Express Scripts forvalter farmasøytiske fordeler for bedrifter og myndigheter. Det rapporterte om 22 milliarder kroner i omsetning i fjor.

Kunder er ikke de eneste som har blitt kontaktet av kriminelle. For noen uker siden ble et uidentifisert advokatfirma også utstyrt med flere poster, ifølge Express Scripts-talskvinne Maria Palumbo. Det firmaet slo over registret til US FBI, som igjen informerte Express Scripts.

"I slutten av august 2009 ble Express Scripts informert av FBI om at forbryteren til forbrytelsen nylig hadde handlet for å bevise at han har mer medlemsposter fra samme periode som de som ble identifisert i 2008-utpressingsforsøket, sier selskapet på sitt nettsted. "Express Scripts er i ferd med å varsle disse medlemmene."

I mai brakte Washington, D.C. advokatfirma Finkelstein Thompson en klassegjennomgang mot Express Scripts på vegne av medlemmer med data som ble stjålet. Advokater på firmaet returnerte ikke meldinger som søker kommentar til denne historien.

Det er urolig at Express Scripts tilsynelatende ikke har klart å finne ut nøyaktig hvilke data som ble benyttet, sa Dissent, en helsepersonell som driver Databreaches.net-nettsiden og bruker et pseudonym for å holde hennes personvernsfortalelse skilt fra sin profesjonelle praksis. "Gitt at de ikke helt sikkert vet det fulde omfanget av denne hendelsen, og at vi virkelig ikke kan være sikre på at utpressingen ikke fikk hele databasen, ville det være forsiktig å varsle alle som hadde postene i databasen," skrev hun i et e-postintervju.

"Dette bruddet er absolutt ikke det største bruddet på personlig helseinformasjon som vi har sett," sa hun. "Men det er likevel et veldig plagsomt brudd fordi det signaliserer at cyberkriminelle anerkjenner verdien av databaser som inneholder pasientinformasjon, selv om ingen finansiell eller kredittkortinformasjon er inkludert."