QualDerm Partners, ein US-amerikanischer Anbieter von Gesundheitsmanagement-Dienstleistungen zur Unterstützung von Dermatologie- und Hautpflegepraktiken, meldete laut regulatorischen Meldungen und Meldungen eine Datenpanne, die mehr als 3,1 Millionen Personen betrifft.
Das Unternehmen bietet administrative und operative Dienstleistungen für fast 160 dermatologische Praxen in 17 Bundesstaaten an. Die Behörden wurden darüber informiert, dass 3.117.874 Personen von dem Vorfall betroffen waren, basierend auf Meldungen bei den staatlichen Aufsichtsbehörden.
Die Sicherheitslücke wurde am 24. Dezember 2025 identifiziert, als QualDerm unautorisierte Aktivitäten in seinem Netzwerk entdeckte. Eine forensische Untersuchung bestätigte später, dass ein unbefugter Akteur zwischen dem 23. und 24. Dezember 2025 Zugang zu bestimmten Systemen hatte.
Laut den Ergebnissen des Unternehmens wurden in diesem Zeitraum Daten abgerufen und entfernt. Die Ermittler erklärten, dass der Einbruch eine begrenzte Anzahl interner Systeme betraf, aber Akten mit sensiblen persönlichen und medizinischen Informationen enthielt.
Die Arten der betroffenen Daten variieren je nach Person. QualDerm berichtete, dass kompromittierte Informationen Namen, E-Mail-Adressen, Geburts- oder Sterbedaten, Krankenaktennummern, Diagnose- und Behandlungsdetails sowie Informationen zur Krankenversicherung umfassen können. Bei einer kleineren Gruppe von Personen könnten auch von der Regierung ausgestellte Identifikationsnummern wie Führerscheindaten sichtbar gewesen sein.
Das Unternehmen begann im Februar 2026, betroffene Personen zu benachrichtigen, wobei Briefe fortlaufend verschickt werden, während der Datenprüfungsprozess fortgesetzt wird.
QualDerm erklärte, dass es zum Zeitpunkt der Benachrichtigung keinen bestätigten Missbrauch der betroffenen Daten festgestellt habe. Das Unternehmen erklärte, es habe nach dem Vorfall Maßnahmen ergriffen, um seine Systeme zu sichern, und habe externe Cybersicherheitsspezialisten beauftragt, den Vorfall zu untersuchen.
Im Rahmen seiner Reaktion bietet QualDerm betroffenen Personen Kreditüberwachungs- und Identitätsschutzdienste an.
Der Verstoß betrifft Patienten, die mit dermatologischen, kosmetischen und Hautpflegeleistungen verbunden sind, die von QualDerm verbundenen Praxen angeboten werden. Das Unternehmen überprüft weiterhin das Ausmaß des Vorfalls, um das volle Ausmaß der betroffenen Daten festzustellen.