California Cryobank (CCB) là một công ty hiến tặng, bảo quản tinh trùng đông lạnh và là một trong những ngân hàng tinh trùng hàng đầu của nước Mỹ. Công ty phục vụ khách hàng ở tất cả các tiểu bang của Mỹ và hơn 30 quốc gia trên toàn thế giới.
California Cryobank đã xác nhận thông tin về cuộc tấn công mạng trong hồ sơ nộp lên Văn phòng Tổng chưởng lý Maine, cũng như trong thư thông báo vi phạm dữ liệu được gửi tới những cá nhân bị ảnh hưởng.
Trong thư thông báo, công ty cho biết họ đã phát hiện hoạt động đáng ngờ trên hệ thống mạng của mình vào ngày 21/4/2024 và đã cô lập các máy tính khỏi hệ thống mạng. Sau khi điều tra, CCB xác định rằng một bên không được phép đã truy cập vào hệ thống công nghệ thông tin của mình. Họ có thể đã truy cập hoặc lấy được các tệp được lưu trữ trên một số hệ thống máy tính trong khoảng thời gian từ ngày 20/4/2024 đến ngày 22/4/2024.
Cuộc điều tra kéo dài gần một năm đã xác định rằng cuộc tấn công đã làm lộ nhiều dữ liệu cá nhân của khách hàng, bao gồm tên, tài khoản ngân hàng và số định tuyến, số An sinh xã hội, số giấy phép lái xe, số thẻ thanh toán và/hoặc thông tin bảo hiểm y tế.
Không rõ liệu CCB có coi người hiến tinh trùng là khách hàng hay không nên thông tin cá nhân của họ có thể bị xâm phạm hay không. Công ty đã triển khai các biện pháp bảo vệ và an ninh bổ sung để bảo vệ dữ liệu và giám sát hệ thống của họ.
Theo quy định tại Mỹ, khi tinh trùng được hiến tặng, thường được thực hiện ẩn danh. Người hiến tặng sẽ được cấp một số ID. ID của người hiến tặng này sau đó được chia sẻ với người nhận tinh trùng và có thể được con cái sử dụng khi chúng đủ 18 tuổi để cố gắng tìm hiểu thêm thông tin về cha ruột của mình.
Việc xử lý, lưu trữ và chia sẻ thông tin sức khỏe được bảo vệ (PHI) trong các ngân hàng tinh trùng ở nước này cũng buộc phải tuân theo quy định của Đạo luật Khả năng chuyển đổi và Trách nhiệm giải trình Bảo hiểm Y tế (HIPAA). Trong đó, quy định về quyền riêng tư của HIPAA yêu cầu các ngân hàng tinh trùng phải thực hiện các biện pháp bảo vệ quyền riêng tư của PHI và đặt ra các giới hạn, điều kiện về việc sử dụng, tiết lộ mà không cần sự đồng ý của bệnh nhân. Bên cạnh đó, các ngân hàng tinh trùng cũng phải tuân theo yêu cầu bảo mật PHI điện tử (ePHI) một cách phù hợp để chống lại các rủi ro tiềm ẩn về tính bảo mật, tính toàn vẹn và tính khả dụng.
Trong trường hợp phát hiện ra các vụ rò rỉ dữ liệu, các ngân hàng phải thông báo cho những cá nhân bị ảnh hưởng, cho Bộ trưởng Bộ Y tế và Dịch vụ Nhân sinh, và trong một số trường hợp họ cũng phải cung cấp thông tin cho truyền thông.
Hiện vẫn chưa rõ thông tin của người hiến tặng, bao gồm số ID của người hiến tặng, có bị đánh cắp trong vụ vi phạm này hay không. Đây sẽ là mối lo ngại đáng kể về quyền riêng tư đối với những người đã hiến tặng tinh trùng ẩn danh trong quá khứ.
