Empresa de tecnologia de saúde vinculada à UnitedHealth sofre violação do Episource, que atinge 5,4 milhões de pacientes

A Episource, uma empresa especializada em cobrança médica, está atualmente informando mais de 5,4 milhões de pessoas nos Estados Unidos que suas informações pessoais e de saúde foram roubadas em um ataque cibernético no início deste ano.

Este incidente, que impactou um número significativo de americanos, representa uma grande violação de dados de saúde relatada em 2025 até agora, de acordo com dados do Departamento de Saúde e Serviços Humanos dos EUA.

A Episource, que faz parte da Optum, subsidiária do UnitedHealth Group, desempenha um papel crucial no sistema de saúde. Como empresa de faturamento médico, trabalha com médicos, hospitais e outros prestadores de serviços de saúde para processar solicitações de reembolso por meio de planos de saúde. Isso significa que eles lidam com grandes quantidades de dados confidenciais de pacientes.

Em notificações protocoladas junto às autoridades da Califórnia ede Vermont , a Episource declarou que um cibercriminoso obteve acesso não autorizado aos seus sistemas. A empresa descobriu atividade incomum em seus sistemas de computador em 6 de fevereiro de 2025.

Investigações revelaram que entre 27 de janeiro de 2025 e 6 de fevereiro de 2025, o invasor conseguiu visualizar e copiar vários tipos de dados de pacientes e membros dos sistemas da Episource.

Embora a Episource não tenha detalhado publicamente a natureza específica do ataque, a Sharp Healthcare, um de seus clientes afetados pela violação, informou seus clientes que o incidente foi causado por ransomware.

“Em 24 de abril de 2025, a Episource, uma parceira comercial da Sharp HealthCare e do Sharp Community Medical Group, confirmou que a Sharp era um de seus clientes afetados por uma violação de dados de ransomware”, observou a empresa em sua notificação de violação .

As informações roubadas são extensas e incluem dados pessoais e de saúde confidenciais, incluindo informações básicas de contato, como nomes, endereços postais e de e-mail, e números de telefone.

Mais grave ainda, a violação expôs dados de saúde protegidos, como números de prontuários médicos, informações sobre médicos, diagnósticos, medicamentos, resultados de exames, exames de imagem e detalhes sobre cuidados e tratamentos. Além disso, informações de planos de saúde, incluindo planos de saúde, detalhes de apólices e números de membros, também foram roubadas.

A Episource começou a notificar os clientes afetados sobre os dados específicos envolvidos em 23 de abril de 2025. Desde então, a empresa tomou medidas para fortalecer seus sistemas de computador e entrou em contato com as autoridades para investigar o incidente.

Para ajudar os afetados, a Episource está oferecendo dois anos de serviços gratuitos de monitoramento de crédito e proteção contra roubo de identidade por meio do IDX. Os indivíduos têm até 11 de outubro de 2025 para se inscrever nesses serviços.

A empresa aconselha a todos que verifiquem cuidadosamente as declarações de provedores de saúde, seguradoras e instituições financeiras em busca de qualquer atividade suspeita e que relatem quaisquer preocupações imediatamente às autoridades competentes.

“ Essa violação sinaliza que os agentes de ameaças estão mudando seu foco de hospitais e clínicas para provedores terceirizados, porque essa abordagem permite que eles tenham acesso a grandes quantidades de PHI de uma só vez ” , disse o Sr. Piyush Pandey , CEO da Pathlock.

“ Uma vez que os adversários tenham acesso a esses dados, eles podem utilizá-los indevidamente por muitos anos para golpes altamente personalizados e campanhas de chantagem. Uma violação dessa escala gera riscos de conformidade e um escrutínio regulatório mais rigoroso para todas as entidades na cadeia de suprimentos da área da saúde ”, enfatizou.

Esta é a segunda grande violação de dados vinculada ao UnitedHealth Group em pouco mais de um ano. O HackRead relatou anteriormente que um ataque de ransomware à unidade Change Healthcare do UnitedHealth em fevereiro de 2024 expôs dados de cerca de 190 milhões de americanos, tornando-se um dos maiores vazamentos de dados de saúde já registrados.

Agora, a empresa Episource, vinculada à UnitedHealth, sofreu mais uma violação, com 5,4 milhões de pacientes afetados, mostrando um padrão problemático de vulnerabilidade de segurança cibernética em entidades conectadas à UnitedHealth.