Omar Marques | Lightrocket | Getty Images
CEO UnitedHealth Group, Andrew Witty, memberitahu para anggota parlemen pada hari Rabu bahwa data dari sekitar sepertiga penduduk Amerika mungkin telah dikompromikan dalam serangan cyber pada anak perusahaannya, Change Healthcare, dan perusahaan tersebut membayar tebusan sebesar $22 juta kepada para peretas.
Witty memberikan kesaksian di hadapan Subcommittee on Oversight and Investigations, yang berada di bawah Komite Energi dan Perdagangan Dewan Perwakilan Rakyat. Dia mengatakan bahwa penyelidikan mengenai pelanggaran tersebut masih berlangsung, sehingga jumlah orang yang terkena dampak masih belum diketahui. Angka sepertiga tersebut merupakan perkiraan kasar.
UnitedHealth sebelumnya mengatakan bahwa serangan cyber kemungkinan besar memengaruhi “sebagian besar orang di Amerika,” menurut rilis April. Perusahaan mengonfirmasi bahwa file yang berisi informasi kesehatan yang dilindungi dan informasi yang dapat diidentifikasi secara pribadi telah dikompromikan dalam pelanggaran tersebut.
Akan memakan waktu berbulan-bulan sebelum UnitedHealth dapat memberitahu individu, mengingat “kompleksitas tinjauan data,” kata rilis tersebut. Perusahaan menawarkan akses gratis ke perlindungan identitas dan pemantauan kredit bagi individu yang khawatir tentang data mereka.
Witty juga memberikan kesaksian di hadapan Komite Keuangan Senat AS pada hari Rabu, di mana dia untuk pertama kalinya mengonfirmasi bahwa perusahaan membayar tebusan sebesar $22 juta kepada para peretas yang meretas Change Healthcare. Pada dengar pendapat di hadapan para legislator Dewan itu pada sore harinya, Witty mengatakan pembayaran dilakukan dalam bentuk bitcoin.
UnitedHealth mengungkapkan bahwa aktor ancaman cyber meretas bagian dari jaringan teknologi informasi Change Healthcare pada akhir Februari. Perusahaan memutuskan hubungan dengan sistem yang terkena dampak ketika ancaman terdeteksi, dan gangguan tersebut telah menyebabkan dampak yang luas di sektor kesehatan AS.
Witty memberitahu subkomite dalam kesaksiannya yang tertulis bahwa para peretas cyber menggunakan “kredensial yang dikompromikan” untuk menyusup ke dalam sistem Change Healthcare pada 12 Februari dan menyebarkan ransomware yang mengenkripsi jaringan sembilan hari kemudian.
Portal yang diakses awalnya oleh para pelaku jahat tidak dilindungi oleh otentikasi multi faktor, atau MFA, yang membutuhkan pengguna untuk memverifikasi identitas mereka dengan setidaknya dua cara yang berbeda.
Witty mengatakan kepada kedua komite pada hari Rabu bahwa UnitedHealth kini telah menerapkan MFA di semua sistem yang berhadapan langsung dengan eksternal.