A violação de dados da Luxottica expõe informações de pacientes do LensCrafters e EyeMed
Uma violação de dados sofrida pela Luxottica expôs as informações pessoais e de saúde de pacientes da LensCrafters, Target Optical e EyeMed.
Luxottica Group SpA é um conglomerado de óculos italiano e a maior empresa do mundo na indústria de óculos. Como uma empresa verticalmente integrada, a Luxottica projeta, fabrica, distribui e vende suas marcas de óculos, incluindo LensCrafters, Sunglass Hut, Apex da Sunglass Hut, Pearle Vision, Target Optical, Eyemed Vision care plan e Glasses.com. Suas marcas mais conhecidas são Ray-Ban, Persol e Oakley. A Luxottica também fabrica óculos de sol e armações com prescrição para marcas de estilistas como Chanel, Prada, Giorgio Armani, Burberry, Versace, Dolce e Gabbana, Miu Miu e Tory Burch.
A empresa italiana emprega mais de 80.000 pessoas e gerou 9,4 bilhões em receitas em 2019.
A Luxottica foi atingida por um ataque de ransomware que ocorreu em 18 de setembro.
Em outubro, o site italiano “ Difesa e Sicurezza ” informou que os operadores de ransomware Nefilim postaram uma longa lista de arquivos que parecem pertencer à Luxottica.
O enorme tesouro de arquivos parece estar relacionado ao escritório de pessoal e aos departamentos financeiros.
A análise dos arquivos vazados revelou que eles contêm informações sigilosas sobre o processo de recrutamento, currículos profissionais e informações sobre as estruturas internas da área de recursos humanos do Grupo.
Os dados financeiros expostos incluem orçamentos, análises de previsões de marketing e outros dados confidenciais.
Agora, a notícia de outra violação de dados chegou às manchetes, uma violação de segurança expôs as informações pessoais e protegidas de saúde de pacientes de LensCrafters, Target Optical, EyeMed e outras práticas de cuidados com a visão.
Os parceiros compartilham uma plataforma de agendamento de consultas baseada na web que é usada pelos pacientes para agendar consultas online ou por telefone.
A Luxottica divulgou uma violação de segurança no aplicativo de agendamento de consultas que ocorreu em 5 de agosto de 2020.
De acordo com uma notificação de “Incidente de Segurança” emitida esta semana pela empresa, ela tomou conhecimento do hack pela primeira vez em 9 de agosto e, após investigar o ataque, determinou em 28 de agosto que os agentes da ameaça obtiveram acesso às informações pessoais dos pacientes.
“Em 9 de agosto de 2020, a Luxottica soube do incidente, conteve-o e imediatamente iniciou uma investigação para determinar a extensão do incidente. Em 28 de agosto de 2020, concluímos preliminarmente que o invasor pode ter acessado e adquirido as informações do paciente ”, afirma a notificação de violação de dados da Luxottica .
A notificação confirma a exposição de informações, incluindo dados pessoais (PII) e informações protegidas de saúde (PHI), como condições médicas e histórico. Para alguns pacientes, as informações expostas incluíram números de cartão de crédito e números de previdência social.
“As informações pessoais envolvidas neste incidente podem ter incluído: nome completo, informações de contato, data e hora da consulta, número da apólice de seguro de saúde e médico ou notas de consulta que podem indicar informações relacionadas ao tratamento oftalmológico, como prescrições, condições de saúde ou procedimentos ”, alertou Luxottica.
A Luxottica está oferecendo um serviço gratuito de monitoramento de identidade de dois anos por meio da Kroll para os pacientes que tiveram suas informações de pagamento e SSNs expostos.
No momento a empresa não tem conhecimento de atividades fraudulentas abusando dos dados expostos, de qualquer forma, está recomendando aos seus pacientes que permaneçam atentos a quaisquer atividades suspeitas e monitorem suas declarações de crédito e histórico.
“Recomendamos que todos os indivíduos potencialmente afetados tomem medidas para se proteger, por exemplo, monitorando de perto os avisos de sua seguradora de saúde e prestadores de serviços de saúde para atividades inesperadas.” afirma que a empresa é um comunicado publicado em um site criado após o incidente. “Se as informações do seu cartão de pagamento e / ou número do Seguro Social estiveram envolvidos neste incidente, isso é explicitamente declarado em sua carta.”
Em 27 de outubro, a empresa começou a notificar os usuários afetados.