A farmacêutica americana Cencora afirma que está notificando os indivíduos afetados de que suas informações médicas pessoais e altamente confidenciais foram roubadas durante um ataque cibernético e violação de dados no início deste ano.
Em cartas enviadas esta semana às pessoas afetadas, o Cencora disse que os dados dos seus sistemas incluem nomes de pacientes, endereço postal e data de nascimento, bem como informações sobre diagnósticos de saúde e medicamentos.
A gigante farmacêutica disse que inicialmente obteve dados de pacientes através de parcerias com outros fabricantes de medicamentos “em conexão com seus programas de apoio a pacientes”. Isso inclui pacientes da Abbvie, Acadia, Bayer, Novartis, Regeneron e outras empresas.
A Cencora ainda não descreveu a natureza do ataque cibernético, que começou em 21 de fevereiro e não foi divulgado publicamente até a empresa protocolou notificação junto aos reguladores do governo uma semana depois, em 27 de fevereiro. A empresa, conhecida como AmerisourceBergen até 2023, administra cerca de 20% dos produtos farmacêuticos vendidos e distribuídos nos Estados Unidos.
O porta-voz da Cencora, Mike Iorfino, disse ao TechCrunch por e-mail que a Cencora não estava disposta a dizer se a empresa determinou quantos indivíduos foram afetados pela violação e quantos indivíduos a empresa notificou até o momento.
Este é o mais recente incidente de segurança a atingir o setor de saúde dos EUA, após uma onda de ataques cibernéticos nos últimos meses, após a enorme violação de dados e interrupções duradouras na Change Healthcare, de propriedade da UnitedHealth, e o recente e contínuo ataque cibernético que derrubou grande parte da rede hospitalar da Ascension.
O porta-voz do Cencora disse que “não há ligação” entre o incidente no Cencora e os ataques cibernéticos na Mudança e Ascensão.
De acordo com as notificações públicas de violação de dados apresentadas pela Cencora às autoridades estaduais dos EUA, que o TechCrunch viu, a Cencora notificou até agora cerca de meio milhão de pessoas desde que soube da violação de dados. Espera-se que o número de indivíduos afetados pela violação de dados do Cencora seja muito maior. O Cencora afirma em seu site que já atendeu pelo menos 18 milhões de pacientes até o momento.
Cencora disse que publicou um aviso em seu site explicando que a empresa “não possui informações de endereço para fornecer notificação direta” para alguns indivíduos afetados pela violação de dados.
Porta-vozes dos fabricantes de medicamentos afetados Abbvie, Acadia, Bayer e Regeneron não retornaram um pedido de comentário do TechCrunch.
O porta-voz da Novartis, Michael Meo, confirmou que a Novartis “foi recentemente informada de um incidente cibernético envolvendo as empresas de atendimento ao paciente Cencora e sua afiliada, Innomar Strategies no Canadá, que forneceram serviços para a Novartis”, mas se recusou a comentar mais ou dizer quantos pacientes da Novartis são afetados pela violação de dados. O porta-voz se recusou a dizer se o Cencora informou à Novartis quantos de seus pacientes foram afetados.
A Cencora obteve receitas de US$ 262 bilhões em 2023, um aumento de 10% em relação ao ano anterior, de acordo com seus últimos dados financeiros. A empresa não informa quanto gasta em segurança cibernética.
Para entrar em contato com este repórter, entre em contato pelo Signal e WhatsApp pelo telefone +1 646-755-8849, ou por e-mail. Você também pode enviar arquivos e documentos via SecureDrop.
