QualDerm Partners zufolge wurde der Einbruch am 24. Dezember entdeckt. Die Angreifer hatten dem Unternehmen zufolge zwei Tage lang unbefugten Zugriff auf das Netzwerk und exfiltrierten in dieser Zeit Daten aus einer nach eigenen Angaben begrenzten Zahl kompromittierter Systeme.
Zu den gestohlenen Informationen gehören laut der Vorfallsmeldung des Unternehmens Namen, Adressen, Geburtsdaten, E-Mail-Adressen, medizinische Aktennummern, Namen behandelnder Ärzte, Behandlungs- und Diagnoseinformationen, Angaben zur Krankenversicherung, Sterbedaten sowie in einigen Fällen Daten staatlich ausgestellter Ausweisdokumente.
Nach eigener Darstellung aktivierte QualDerm umgehend seine Notfallpläne, ergriff Maßnahmen zur Eindämmung der unbefugten Aktivität, überprüfte die Sicherheit seiner Systeme und informierte Strafverfolgungs- sowie Aufsichtsbehörden. Die Untersuchung des Vorfalls dauere weiter an; benachrichtigt würden zunächst die bislang identifizierten Patienten.
Gegenüber dem US-Gesundheitsministerium (Department of Health and Human Services) gab QualDerm an, dass 3.117.874 Personen von dem Angriff betroffen seien. Der Vorfall wurde nach Angaben in diesem Monat gemeldet, tauchte aber erst in dieser Woche im Meldeportal des Ministeriums auf.
Den Betroffenen bietet das Unternehmen zwölf Monate lang kostenlose Dienste zur Überwachung auf Identitätsdiebstahl und zur Kreditüberwachung an.
QualDerm Partners hat seinen Sitz in Brentwood im US-Bundesstaat Tennessee und erbringt Verwaltungsdienstleistungen für 158 Praxen in 17 Bundesstaaten in den Bereichen Kosmetik, Dermatologie, Pathologie, plastische Chirurgie und Hautkrebsversorgung.
