Oncology Institute xác nhận rò rỉ dữ liệu bệnh nhân do lỗ hổng tại nhà cung cấp bên thứ ba

Oncology Institute (TOI), một nhà cung cấp dịch vụ điều trị ung thư hàng đầu với mạng lưới hơn 100 phòng khám, đã xác nhận rằng một sự cố an ninh mạng được phát hiện trước đó thực sự đã xâm phạm đến thông tin cá nhân của bệnh nhân.

Y tế và an ninh mạng

Trong một hồ sơ mới gửi lên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) vào tuần trước, TOI cho biết vào ngày 20 tháng 5 năm 2026, Kroll - đơn vị quản lý bên thứ ba cho nhà cung cấp phần mềm - đã thông báo cho họ về việc phát hiện sự truy cập trái phép bởi một bên thứ ba vào các hệ thống thông tin nhất định của TOI, bao gồm các hệ thống chứa dữ liệu bệnh nhân.

TOI tin rằng sự cố an ninh mạng này đã ảnh hưởng đến nhiều nhà cung cấp dịch vụ chăm sóc sức khỏe khác. Nhà cung cấp phần mềm (vẫn chưa được TOI nêu tên) đã thiết lập một cổng thông tin dành cho bệnh nhân nhằm cung cấp thông tin và phản hồi các thắc mắc liên quan.

Nghi vấn hướng tới TriZetto

Mặc dù Oncology Institute không công khai danh tính của nhà cung cấp phần mềm bên thứ ba này, nhưng mốc thời gian và quy mô ảnh hưởng được báo cáo trên nhiều tổ chức y tế đều chỉ ra một ứng cử viên sáng giá: TriZetto Provider Solutions, một công ty công nghệ y tế thuộc sở hữu của Cognizant.

Hiện tại, Kroll đang xử lý việc công bố thông tin cho TriZetto. Vào đầu năm nay, TriZetto đã báo cáo về một vụ rò rỉ dữ liệu ảnh hưởng đến nhiều khách hàng và khoảng 3,4 triệu cá nhân.

Hiện trường vụ việc

Cho đến nay, vẫn chưa rõ ai là chủ mưu đứng sau vụ tấn công này. Chưa có nhóm mã độc tống tiền (ransomware) nào nhận trách nhiệm cho cuộc tấn công nhằm vào TriZetto hay Oncology Institute.

SecurityWeek đã liên hệ với TOI để yêu cầu thêm thông tin và sẽ cập nhật bài viết nếu nhận được phản hồi.

Vụ việc một lần nữa nhấn mạnh rủi ro ngày càng tăng từ các cuộc tấn công qua chuỗi cung ứng (supply chain attacks), nơi tin tặc nhắm vào các nhà cung cấp phần mềm bên thứ ba để tiếp cận dữ liệu của các tổ chức lớn.