Nach der Entdeckung des Einbruchs am 7. Januar beendete OpenLoop Health nach eigenen Angaben den unbefugten Zugriff umgehend und leitete mit Unterstützung externer Cybersicherheitsfachleute eine Untersuchung ein. Das Unternehmen verschärfte zudem seine Sicherheitsvorkehrungen und stimmte sich mit den Strafverfolgungsbehörden ab.
In den Benachrichtigungsschreiben heißt es, ein unbefugter Dritter habe sich Zugang zu bestimmten Systemen von OpenLoop verschafft und bestimmte Informationen entfernt. Der Zugriff bestand demnach zwischen dem 7. und dem 8. Januar. Ausdrücklich nicht betroffen seien die elektronische Gesundheitsakte, die Sozialversicherungsnummer sowie Finanzkontodaten.
OpenLoop erklärte, ihm sei kein Missbrauch der gestohlenen Daten bekannt, rief die Betroffenen jedoch zur Wachsamkeit gegenüber Betrug und Identitätsdiebstahl auf. Den Betroffenen bietet das Unternehmen für ein Jahr kostenlose Dienste zur Identitäts- und Kreditüberwachung an.
Zum Verantwortlichen des Angriffs machte die Plattform keine Angaben. Berichten zufolge reklamierte ein Akteur die Tat jedoch zu Beginn des Jahres für sich und behauptete, die Daten von 1,6 Millionen Personen erbeutet zu haben — deutlich mehr als die nun gemeldeten 716.000.
OpenLoop mit Sitz in Des Moines im US-Bundesstaat Iowa liefert White-Label-Infrastruktur für digitale Gesundheitsdienste an Gesundheits- und Verbraucherunternehmen, die virtuelle Versorgung anbieten wollen.