Violazione dei dati di Episource, azienda tecnologica sanitaria collegata a UnitedHealth, colpisce 5,4 milioni di pazienti

Episource, un'azienda specializzata nella fatturazione medica, sta attualmente informando oltre 5,4 milioni di persone negli Stati Uniti che i loro dati personali e sanitari sono stati rubati in un attacco informatico avvenuto all'inizio di quest'anno.

Secondo i dati del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti, questo incidente, che ha avuto ripercussioni su un numero significativo di americani, rappresenta una delle più gravi violazioni dei dati sanitari segnalate finora nel 2025.

Episource, parte di Optum, una sussidiaria di UnitedHealth Group, svolge un ruolo cruciale nel sistema sanitario. In qualità di società di fatturazione medica, collabora con medici, ospedali e altri operatori sanitari per elaborare le richieste di rimborso tramite l'assicurazione sanitaria. Ciò significa che gestisce enormi quantità di dati sensibili dei pazienti.

In avvisi depositati presso le autorità di California eVermont , Episource ha dichiarato che un criminale informatico ha ottenuto l'accesso non autorizzato ai propri sistemi. L'azienda ha scoperto attività insolite nei propri sistemi informatici il 6 febbraio 2025.

Le indagini hanno rivelato che tra il 27 gennaio e il 6 febbraio 2025, l'aggressore è riuscito a visualizzare e copiare vari tipi di dati di pazienti e membri dai sistemi di Episource.

Sebbene Episource non abbia pubblicamente specificato la natura specifica dell'attacco, Sharp Healthcare, uno dei suoi clienti interessati dalla violazione, ha informato i propri clienti che l'incidente è stato causato da un ransomware.

"Il 24 aprile 2025, Episource, un partner commerciale di Sharp HealthCare e Sharp Community Medical Group, ha confermato che Sharp era uno dei suoi clienti colpiti da una violazione dei dati tramite ransomware", ha osservato la società nella sua notifica di violazione .

Le informazioni rubate sono numerose e includono dati personali e sanitari sensibili, tra cui informazioni di contatto di base come nomi, indirizzi postali ed email e numeri di telefono.

Ancora più grave, la violazione ha esposto dati sanitari protetti, come numeri di cartelle cliniche, informazioni su medici, diagnosi, farmaci, risultati di esami, immagini diagnostiche e dettagli relativi a cure e trattamenti. Inoltre, sono state rubate anche informazioni sull'assicurazione sanitaria, inclusi piani sanitari, dettagli delle polizze e numeri di iscrizione.

Episource ha iniziato a informare i clienti interessati sui dati specifici coinvolti il 23 aprile 2025. Da allora, l'azienda ha adottato misure per rafforzare i propri sistemi informatici e ha collaborato con le forze dell'ordine per indagare sull'incidente.

Per aiutare le persone colpite, Episource offre due anni di servizi gratuiti di monitoraggio del credito e protezione contro il furto di identità tramite IDX. Le persone hanno tempo fino all'11 ottobre 2025 per iscriversi a questi servizi.

L'azienda consiglia a tutti di controllare attentamente le dichiarazioni di operatori sanitari, compagnie assicurative e istituti finanziari per individuare eventuali attività sospette e di segnalare immediatamente eventuali preoccupazioni alle autorità competenti.

" Questa violazione segnala che gli autori della minaccia stanno spostando la loro attenzione dagli ospedali e dalle cliniche ai fornitori terzi, perché questo approccio consente loro di accedere a enormi quantità di PHI alla volta " , ha affermato Piyush Pandey , CEO di Pathlock.

" Una volta che gli aggressori mettono le mani su questi dati, possono utilizzarli impropriamente per molti anni a venire per truffe altamente personalizzate e campagne di ricatto. Una violazione di questa portata comporta rischi di conformità e controlli normativi più severi per ogni entità della catena di fornitura sanitaria ", ha sottolineato.

Si tratta della seconda grave violazione di dati legata a UnitedHealth Group in poco più di un anno. HackRead aveva precedentemente segnalato che un attacco ransomware all'unità Change Healthcare di UnitedHealth nel febbraio 2024 aveva esposto i dati di circa 190 milioni di americani, rendendolo una delle più grandi fughe di dati sanitarie di sempre.

Ora, Episource, azienda collegata a UnitedHealth, ha subito un'altra violazione, che ha interessato 5,4 milioni di pazienti, evidenziando un modello problematico di vulnerabilità della sicurezza informatica tra le entità collegate a UnitedHealth.