Kebocoran Data Mei 2025, Covenant Health Akui Hampir 478 Ribu Pasien Terdampak

Covenant Health mengonfirmasi bahwa insiden kebocoran data yang terungkap pada Mei 2025 berdampak jauh lebih besar dari perkiraan awal. Organisasi layanan kesehatan tersebut kini menyatakan hampir 478.000 pasien terdampak, meningkat drastis dibanding laporan awal yang hanya mencatat sekitar 7.800 individu.

Dalam pembaruan terbaru, Covenant Health menyebutkan bahwa setelah menyelesaikan sebagian besar proses analisis data, jumlah individu yang terdampak mencapai 478.188 orang. Temuan ini muncul beberapa bulan setelah organisasi pertama kali mengumumkan insiden tersebut pada Juli 2025.

Covenant Health merupakan penyedia layanan kesehatan Katolik yang berbasis di Andover, Massachusetts. Jaringannya mencakup rumah sakit, pusat keperawatan dan rehabilitasi, fasilitas hunian lansia, serta berbagai layanan perawatan lanjut usia di wilayah New England dan sebagian Pennsylvania.

Investigasi internal mengungkap bahwa pelanggaran sistem terjadi pada 18 Mei 2025 dan baru terdeteksi delapan hari kemudian, tepatnya pada 26 Mei. Dalam insiden tersebut, pelaku berhasil mengakses data pasien yang tersimpan di sistem internal organisasi.

Pada akhir Juni, kelompok ransomware Qilin mengklaim bertanggung jawab atas serangan ini. Kelompok tersebut menyatakan telah mencuri sekitar 852 gigabita data yang terdiri dari hampir 1,35 juta file. Klaim tersebut memperkuat dugaan bahwa kebocoran berskala besar memang terjadi, seiring dengan meluasnya dampak yang kini diakui Covenant Health.

Menurut keterangan resmi organisasi, data yang terekspos berpotensi mencakup informasi sensitif seperti nama lengkap, alamat, tanggal lahir, nomor rekam medis, nomor Jaminan Sosial, informasi asuransi kesehatan, serta detail perawatan medis, termasuk diagnosis dan tanggal maupun jenis pengobatan.

Covenant Health menyatakan telah melibatkan spesialis forensik pihak ketiga untuk mengidentifikasi secara rinci data apa saja yang terdampak dan menghitung jumlah individu yang terpengaruh. Proses peninjauan tersebut masih berlangsung, dan hingga kini belum ada kepastian kapan investigasi akan sepenuhnya rampung.

Sebagai langkah mitigasi, organisasi mengklaim telah memperkuat sistem keamanannya guna mencegah insiden serupa di masa mendatang. Selain itu, Covenant Health menawarkan layanan perlindungan identitas gratis selama 12 bulan bagi individu yang terdampak, untuk membantu mendeteksi potensi penyalahgunaan data pribadi.

Mulai 31 Desember 2025, Covenant Health juga telah memulai pengiriman surat pemberitahuan resmi kepada para pasien yang informasinya diduga terkompromi dalam insiden tersebut. Langkah ini dilakukan sebagai bagian dari kewajiban transparansi dan perlindungan konsumen di sektor layanan kesehatan.

Kasus ini kembali menyoroti tingginya risiko keamanan siber di industri kesehatan, di mana satu insiden dapat berdampak pada ratusan ribu individu dan melibatkan data pribadi serta medis yang sangat sensitif.