Компания Brightline допустила утечку данных клиентов через уязвимость в Fortra GoAnywhere MFT

Поставщик онлайн-консультаций Brightline предупреждает пациентов о том, что у него произошла утечка данных, затронувшая 783 606 человек. Причиной послужила уже ставшая легендарной уязвимость нулевого дня в Fortra GoAnywhere MFT.

Данные пациентов похитила банда вымогателей Clop, которая воспользовалась уязвимостью CVE-2023-0669 в программном обеспечении производства Fortra для похищения данных 130 компаний. Судя по всему, Brightline изначально входила в список этих компаний, но только сейчас сообщила об утечке публично, пишет Securitylab.

Как сообщается, затронутых утечкой клиентов организация начала уведомлять 7 апреля, в то время как сами киберпреступники Clop указали Brightline на своём веб-сайте с утечками ещё 16 марта.

Brightline предлагающет онлайн-консультации для детей, подростков и их семей. В последнем «уведомлении об инциденте с безопасностью данных», размещенном на веб-сайте компании, Brightline подтвердила, что данные были украдены из её службы GoAnywhere MFT, которая содержала защищенную медицинскую информацию.

Внутреннее расследование компании показало, что данные, украденные бандой вымогателей, включали следующую личную информацию:

• Полные имена
• Физические адреса
• Даты рождения
• Идентификационные номера участников
• Дата покрытия планом медицинского страхования
• Имена работодателей

«Как только нам стало известно об инциденте, мы немедленно приняли меры по его расследованию, подтвердив, что Fortra деактивировала учётную запись неавторизованного пользователя, отключила службу GoAnywhere и перестроила нашу версию, чтобы она больше не была уязвима», — говорится в уведомлении о безопасности Brightline.

«Кроме того, мы внедрили дополнительные меры безопасности, в том числе ограничение постоянного доступа для проверенных пользователей и удаление всех наших данных из службы GoAnywhere до тех пор, пока не будет найдено и реализовано альтернативное решение для передачи файлов».

Brightline предлагает всем затронутым утечкой лицам два года бесплатных услуг по защите личных данных и кредитному мониторингу через сервис Cyberscout.