La consultora Greylock McKinnon Associates (GMA), que brinda servicios de apoyo en litigios al Departamento de Justicia de los Estados Unidos, fue víctima de una violación de seguridad que provocó el robo de datos personales y médicos de más de 340 mil personas.
El incidente fue descubierto por la consultora el pasado mes de mayo de 2023, cuando se percataron de la violación de su red interna.
La semana recién pasada, a casi 10 meses del incidente, GMA envió una carta a las personas afectadas dando cuenta de la infracción. En la misiva, la consultora indicó que fueron víctima de un «ciberataque sofisticado», aunque no proporcionó ningún detalle sobre cómo se produjo la infracción ni quién fue el responsable.
«Su información personal y de Medicare probablemente se vio afectada en este incidente», dijo a los destinatarios de la carta, además de señalar que «esta información puede haber incluido su nombre, fecha de nacimiento, dirección, número de reclamo del seguro médico de Medicare (que contiene un número de Seguro Social asociado con un miembro) y cierta información médica y/o información del seguro médico».
Una vez detectado el incidente, GMA contrató de inmediato a especialistas externos en ciberseguridad para que le ayudaran en su respuesta al ataque y notificó a las autoridades y al Departamento de Justicia.
El incidente también fue comunicado en su momento a la Oficina del Fiscal General del Estado de Maine, en la que se especificó que la cantidad de individuos afectadas por el incidente ascendió a 34.650 personas.
Pese a lo anterior, existen muchas dudas por el tiempo transcurrido entre la detección del incidente, que data específicamente del 30 de mayo de 2023, y la notificación a los afectados, el pasado 7 de febrero de 2024, un poco más de ocho meses. De igual forma, también surgieron dudas sobre las razones por la cual la consultora recopilaba datos del DOJ, aunque en la carta entrega a los afectados se sostiene que ellos son objetos de investigación en el tema.
En la carta, GMA también indicó que el Departamento de Justicia le dijo que el incidente no afectó los beneficios o la cobertura actuales de Medicare de las personas afectadas.
La firma ha ofrecido a los afectados 24 meses de servicio de protección contra suplantación de identidad y seguimiento crediticio.
Además, GMA dijo que eliminó los datos del Departamento de Justicia de sus sistemas después del incidente.