Até agora, a Cencora notificou mais de um milhão de pessoas nos EUA de que suas informações pessoais e de saúde protegidas foram comprometidas em uma violação de dados no início deste ano, descobriu o TechCrunch.

O gigante farmacêutico em maio disse que um incidente em fevereiro resultou na comprometimento dos dados dos pacientes, que a Cencora obteve por meio de parcerias com fabricantes de medicamentos com os quais trabalha em conexão com seus programas de suporte ao paciente. Alguns desses fabricantes de medicamentos incluem AbbVie, Bayer, Pfizer e Regeneron.

A Cencora, anteriormente conhecida como AmerisourceBergen até 2023, informa em seu aviso de violação de dados que os dados comprometidos incluem nomes de pacientes, endereço postal e data de nascimento, bem como informações sobre seus diagnósticos de saúde, medicamentos e prescrições.

O gigante farmacêutico até agora se recusou a descrever o que levou à violação de dados, como se o incidente foi caused by hackers maliciosos ou uma falha de segurança dentro da organização. A Cencora também se recusou a confirmar o número de indivíduos que notificou sobre a violação de dados.

A análise do TechCrunch de notificações de violação de dados publicadas mostra que a Cencora notificou pelo menos 1,43 milhão de indivíduos que seus dados foram comprometidos no incidente de fevereiro.

Nossa análise envolveu a busca de avisos de violação de dados publicados nos sites de vários procuradores-gerais estaduais dos EUA, incluindo Delaware, Iowa, Massachusetts, Montana, New Hampshire, Texas e Washington. Esses estados exigem que as empresas afetadas por uma violação de dados divulguem publicamente o número específico de residentes de seu estado a serem notificados. (Muitos dos avisos de violação de dados são arquivados em nome de cada empresa farmacêutica afetada individualmente, ou arquivados pelo grupo pai da Cencora, Lash Group.) No momento da escrita, o Texas tinha o maior número de pessoas notificadas sobre a violação da Cencora, totalizando 1,05 milhão de indivíduos.

A Cencora enviou seu aviso de violação de dados mais recente aos indivíduos afetados em meados de julho, sugerindo que o gigante farmacêutico ainda está alertando aqueles cujos dados foram roubados.

O número de pessoas afetadas pela violação de dados provavelmente é muito maior. A Cencora admitiu em seu próprio aviso de violação de dados que não pode notificar todos os afetados, pois não possui informações de endereço atualizadas para enviar avisos.

A Cencora afirmou no início deste ano que já atendeu pelo menos 18 milhões de pacientes até o momento.

Ao ser contatado por e-mail na sexta-feira, o porta-voz da Cencora, Mike Iorfino, não contestou o número de indivíduos que notificou até o momento, mas se recusou a fornecer um número mais preciso ou comentar sobre o assunto.

Com 1,42 milhão de pessoas afetadas, essa violação de dados já se destaca como uma das maiores compromissos de informações relacionadas à saúde em 2024 até o momento, de acordo com uma lista de violações de dados publicada pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS).

Segundo a contagem em execução do HHS para 2024, a gigante de seguros de saúde Kaiser notificou mais de 13,4 milhões após compartilhar inadvertidamente informações pessoais e de saúde dos pacientes com anunciantes; a empresa de gerenciamento de prescrições Sav-Rx notificou 2,8 milhões de que suas informações de saúde foram roubadas em um ataque cibernético anterior; e o administrador de benefícios de saúde WebTPA informou a 2,5 milhões de indivíduos que cibercriminosos haviam roubado suas informações de seguro e números de Seguro Social.

Embora o número de indivíduos afetados ainda não tenha sido revelado, o ataque de ransomware em fevereiro na subsidiária de tecnologia da saúde da UnitedHealth, Change Healthcare, provavelmente está entre os maiores violações de dados relacionadas à saúde na história dos EUA, afetando uma "proporção substancial de pessoas na América" - provavelmente pelo menos 100 milhões de residentes dos EUA.

Para sua parte, a Cencora disse que sua violação de dados não teve "nenhuma conexão" com o ataque de ransomware e violação de dados no Change Healthcare.