Công ty chăm sóc sức khỏe kỹ thuật số iRhythm Holdings đã tiết lộ một vụ vi phạm dữ liệu sau khi tin tặc đánh cắp thông tin cá nhân và sức khỏe của bệnh nhân được lưu trữ trên các ứng dụng kinh doanh do bên thứ ba lưu trữ.
Công ty cho biết dịch vụ theo dõi tim của họ đã được sử dụng để phân tích hơn 2 tỷ giờ dữ liệu nhịp tim được quản lý từ hơn 12 triệu bệnh nhân.
trong một nộp hồ sơ Với Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) hôm thứ Hai, iRhythm cho biết họ đã phát hiện ra vụ việc trước đó một ngày, khiến họ phải tiến hành một cuộc điều tra với các chuyên gia an ninh mạng bên ngoài và kích hoạt kế hoạch ứng phó an ninh mạng của mình để ngăn chặn vi phạm.
Nó nói thêm rằng những kẻ tấn công đã liên hệ một tuần trước, vào ngày 9 tháng 6, yêu cầu một khoản tiền chuộc để ngăn chặn việc tiết lộ thông tin sức khỏe bị đánh cắp trên mạng, nhưng không quy cuộc tấn công cho một tác nhân đe dọa hoặc nhóm tống tiền cụ thể.
“Vào ngày 9 tháng 6 năm 2026, Công ty đã nhận được thông tin liên lạc từ một kẻ đe dọa tuyên bố đã lấy được thông tin nhạy cảm, bao gồm dữ liệu độc quyền, thông tin sức khỏe được bảo vệ của bệnh nhân và thông tin cá nhân khác. Thông tin liên lạc từ kẻ đe dọa yêu cầu thanh toán để đổi lấy việc không tiết lộ công khai thông tin này”, iRhythm cho biết.
“Kể từ khi nhận được thông tin liên lạc, Công ty đã xác nhận rằng một số dữ liệu nhất định đã bị lấy ra khỏi các ứng dụng đó. Vào ngày 10 tháng 6 năm 2026, Công ty xác định rằng sự cố này là nghiêm trọng do khối lượng dữ liệu có khả năng bị ảnh hưởng.”
Công ty cũng tuyên bố rằng họ không có bằng chứng nào cho thấy vụ việc ảnh hưởng đến “sản phẩm, hệ thống thiết bị y tế hoặc lâm sàng, sự an toàn của bệnh nhân, hoạt động sản xuất và phân phối, hệ thống báo cáo tài chính” và lưu ý rằng các tác nhân đe dọa đã có được quyền truy cập vào dữ liệu thông qua kỹ thuật xã hội.
iRhythm nói thêm rằng họ không lưu trữ thông tin thẻ thanh toán hoặc tài khoản tài chính của bệnh nhân và hành vi vi phạm không liên quan đến hệ thống thiết bị y tế hoặc lâm sàng của họ.
BleepingComputer đã liên hệ với người phát ngôn của iRhythm để hỏi thêm các câu hỏi về vụ việc, bao gồm số lượng cá nhân bị lộ dữ liệu cá nhân và bệnh nhân do vi phạm, nhưng chưa có phản hồi ngay lập tức.
Công ty dược phẩm khổng lồ Novo Nordisk của Đan Mạch, nhà sản xuất insulin lớn nhất thế giới, cũng tiết lộ một vi phạm dữ liệu tuần trước sau khi tin tặc đánh cắp thông tin bệnh nhân từ một số thử nghiệm lâm sàng trong một sự cố liên quan đến hệ thống CNTT nội bộ bị xâm nhập.