Công ty công nghệ y tế iRhythm xác nhận bị đánh cắp dữ liệu, tin tặc đòi tiền chuộc

iRhythm, một công ty chuyên về công nghệ theo dõi tim mạch đeo được, vừa xác nhận họ là nạn nhân của một cuộc tấn công mạng dẫn đến việc đánh cắp thông tin.

Vụ rò rỉ dữ liệu này được iRhythm – đơn vị nổi tiếng với máy theo dõi điện tâm đồ đeo được Zio – công bố trong một hồ sơ gửi lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) vào thứ Hai vừa qua.

Công ty cho biết họ đã phát hiện ra "hoạt động trái phép liên quan đến dữ liệu được duy trì trên một số ứng dụng kinh doanh được lưu trữ bởi bên thứ ba" vào ngày 8 tháng 6. iRhythm lưu ý rằng cuộc tấn công này có liên quan đến kỹ thuật xã hội (social engineering), tuy nhiên ứng dụng cụ thể bị nhắm mục tiêu chưa được gọi tên.

iRhythm

Một tác nhân đe dọa đã liên hệ với công ty vào ngày 9 tháng 6, tuyên bố đã đánh cắp thông tin nhạy cảm, bao gồm cả dữ liệu độc quyền và thông tin y tế được bảo vệ của bệnh nhân. Những kẻ tấn công đã đòi tiền chuộc để ngăn chặn việc rò rỉ các tệp dữ liệu bị xâm phạm.

iRhythm đang làm việc với các chuyên gia an ninh mạng bên ngoài để điều tra vụ việc và đã xác nhận rằng một số dữ liệu đã bị đánh cắp. Tuy nhiên, công ty chưa xác nhận liệu mô tả về dữ liệu bị xâm phạm của tác nhân đe dọa có chính xác hay không.

Hiện tại, nhà cung cấp thiết bị y tế này vẫn đang nỗ lực xác định có bao nhiêu cá nhân bị ảnh hưởng, cũng như loại và số lượng dữ liệu cụ thể bị đánh cắp.

Các hệ thống lâm sàng và thiết bị không bị ảnh hưởng

Điều quan trọng cần lưu ý là công ty khẳng định các sản phẩm, hệ thống thiết bị y tế hoặc lâm sàng, hoạt động sản xuất và phân phối, an toàn của bệnh nhân và hệ thống báo cáo tài chính của họ không bị ảnh hưởng bởi vụ việc này.

"Vụ việc này không liên quan đến các hệ thống thiết bị y tế hoặc lâm sàng của Công ty hoặc các kết nối với khách hàng. Công ty không lưu trữ hay giữ lại thông tin tài khoản tài chính cá nhân hoặc thông tin thẻ thanh toán", hồ sơ SEC nêu rõ.

Cho đến nay, chưa có nhóm mã độc tống tiền hoặc tống tiền nào được biết đến nhận trách nhiệm cho vụ tấn công vào iRhythm. Cũng chưa rõ liệu công ty có đồng ý trả tiền chuộc hoặc đã đàm phán với tin tặc hay không.