A Infosys McCamish Systems (IMS) divulgou que o ataque de ransomware LockBit sofrido no início deste ano levou ao roubo de dados confidenciais de mais de seis milhões de indivíduos.
Roubo de dados Infosys McCamish
A IMS é uma corporação multinacional que fornece consultoria empresarial, tecnologia da informação e serviços de terceirização. Ela é especializada em cobrir as necessidades de empresas nos setores de seguros e serviços financeiros. A empresa tem uma presença significativa nos EUA, atendendo grandes instituições financeiras, como o Bank of America e sete das dez maiores seguradoras do país.
Em fevereiro de 2024, o IMS informou ao público que havia sido atingido por um ransomware em novembro de 2023, que resultou no comprometimento dos dados pessoais de cerca de 57.000 clientes do Bank of America. Na época, a LockBit reivindicou o ataque e disse que havia criptografado 2.000 computadores na rede IMS.
Numa nova notificação partilhada com as autoridades dos EUA, o IMS afirma agora que o número total de pessoas afetadas pelo ataque de ransomware de novembro de 2023 é de pouco mais de 6 milhões.
Com a assistência de especialistas terceirizados em eDiscovery, contratados por meio de consultoria jurídica externa, a IMS procedeu à realização de uma revisão completa e demorada dos dados em questão para identificar as informações pessoais sujeitas a acesso e aquisição não autorizados e determinar a quem as informações pessoais se referem.
O IMS notificou suas organizações impactadas sobre o incidente e sobre o comprometimento de quaisquer informações pessoais pertencentes a elas.
Os dados roubados
Os dados confirmados como comprometidos variam de um indivíduo para outro, mas incluem o seguinte:
- Número de Segurança Social (SSN);
- Data de nascimento;
- Tratamento médico/informações de registro;
- Dados biométricos;
- Endereço de e-mail e senha;
- Usuário e senha;
- Número da carteira de motorista ou número de identificação estadual;
- Informações da conta financeira;
- Informações do cartão de pagamento;
- Número do Passaporte;
- Número de identificação tribal;
- Número de identificação militar dos EUA.
Mitigação dos riscos
Para mitigar o risco da exposição, as cartas de notificação incluem instruções sobre como acessar um serviço gratuito de proteção de identidade e monitoramento de crédito por dois anos por meio da Kroll.
A IMS não divulgou quais de seus clientes foram afetados, exceto a Oceanview Life and Annuity Company (OLAC), uma provedora de anuidades fixas e indexadas fixas sediada no Arizona que garante renda de aposentadoria para segurados. O aviso da IMS menciona que a lista de proprietários de dados impactados, atualmente listando apenas o OLAC, pode ser complementada continuamente à medida que mais clientes solicitarem ser nomeados no registro.