Español

Arizona Arthritis and Rheumatology Associates (AARA) recently experienced a data security incident that exposed some patient information. On March 3, 2025, several staff members were victims of an email phishing incident that compromised their Office 365 login credentials. “Phishing” is where a perpetrator sends (or pretends to send) an email from a trusted source in order to trick someone into clicking a link in an email.

AARA discovered the email phishing within hours of the incident and took immediate action to lock down the affected accounts and change the compromised passwords. AARA also alerted all employees about the phishing incident to prevent further impact and confirmed that the perpetrator did not access the electronic medical record system. In response to this incident, AARA retrained its staff on how to spot email phishing scams and purchased additional software to detect and fight more sophisticated email phishing scams in the future.

Some of the emails that were exposed contained patient names, provider name, clinic name, birth date, birth sex, insurance company name, balance, appointment date, limited health information and/or ID numbers. AARA confirmed the exposed emails did not contain any social security numbers, credit card information, or any other sensitive financial information.

If a patient’s information was in the exposed emails, AARA has sent letters to the patients or their next of kin. AARA is offering these patients a free one-year membership to identity monitoring services, which are described in the letters mailed to the patients. These services are provided by Kroll, which has extensive experience helping people who have had their private data exposed.

We are committed to the privacy of your personal information and sincerely regret this incident. If you have any questions about whether your information was included in the exposed emails, please call (866) 408-0663, Monday through Friday from 8:00 a.m. to 5:30 p.m. Central Time.

Free Credit Report. Remain vigilant by reviewing account statements and monitoring your credit report for unauthorized activity, especially activity that may indicate fraud and identity theft. You may obtain a copy of your credit report, free of charge, once every 12 months from each of the three nationwide credit reporting agencies.

Equifax, PO Box 740241, Atlanta, GA 30374, www.equifax.com, 1-800-685-1111
Experian, PO Box 2104, Allen, TX 75013, www.experian.com, 1-888-397-3742
TransUnion, PO Box 2000, Chester, PA 19016, www.transunion.com, 1-800-888-4213

To order your annual free credit report please visit www.annualcreditreport.com or call toll free at 1-877-322-8228. You can also order your annual free credit report by mailing a completed Annual Credit Report Request Form (available from the U.S. Federal Trade Commission’s (“FTC”) website at www.consumer.ftc.gov ) to: Annual Credit Report Request Service, P.O. Box 105281, Atlanta, GA 30348-5281.

Fraud Alerts. There are two types of fraud alerts you can place on your credit report to put your creditors on notice that you may be a victim of fraud—an initial alert and an extended alert. You may ask that an initial fraud alert be placed on your credit report if you suspect you have been, or are about to be, a victim of identity theft. An initial fraud alert stays on your credit report for at least one year. You may have an extended alert placed on your credit report if you have already been a victim of identity theft and you have the appropriate documentary proof. An extended fraud alert stays on your credit report for seven years. You can place a fraud alert on your credit report by contacting any of the three national credit reporting agencies.

Security Freeze. You have the ability to place a security freeze, also known as a credit freeze, on your credit report free of charge. A security freeze is intended to prevent credit, loans and services from being approved in your name without your consent. To place a security freeze on your credit report, you may use an online process, an automated telephone line, or submit a written request to any of the three credit reporting agencies listed above. The following information must be included when requesting a security freeze: (1) full name, with middle initial and any suffixes; (2) Social Security number; (3) date of birth; (4) current address and any previous addresses for the past 5 years; and (5) any applicable incident report or complaint with a law enforcement agency or the Registry of Motor Vehicles. The request must also include a copy of a government-issued identification card and a copy of a recent utility bill or bank or insurance statement. It is essential that each copy be legible, and display your name, current mailing address, and the date of issue. For more information about obtaining a security freeze, go to https://consumer.ftc.gov/articles/what-know-about-credit-freezes-fraud-alerts.

Fair Credit Reporting Act (FCRA). You have rights under FCRA. These include the right to know what is in your file; to dispute incomplete or inaccurate information; and to have consumer reporting agencies correct or delete inaccurate, incomplete, or unverifiable information. For more information about the FCRA, visit ftc.gov. You may submit a declaration of removal to remove information placed in your credit report as a result of being a victim of identity theft pursuant to the Fair Credit Reporting and Identity Security Act.

Federal Trade Commission (FTC). The FTC offers consumer assistance and educational materials relating to identity theft and privacy issues. You can learn more about how to protect yourself from becoming an identity theft victim, including fraud alerts and security freezes, by contacting the FTC at 877.IDTHEFT (1-877-438-4338), or www.ftc.gov/idtheft. The mailing address for the FTC is: Federal Trade Commission, Consumer Response Center, 600 Pennsylvania Avenue, NW Washington, DC 20580.

State Attorneys General. You may also contact your state’s Attorney General to obtain information about fraud alerts and security freezes, security breaches, and how to prevent identity theft, and to report any incidents of identity theft or fraud.

If you detect any incident of identity theft or fraud, promptly report the incident to your local law enforcement authorities, your state Attorney General, and/or the FTC.  You may also obtain a copy of police reports.

Arizona Arthritis & Rheumatology Associates (AARA) recientemente experimentó un incidente de seguridad de datos que expuso cierta información de pacientes. El 3 de Marzo del 2025, varios miembros del personal fueron víctimas de un correo electrónico de suplantación de identidad (phishing) que compromete a sus usuarios de acceso en Office 365. “Phishing” o suplantación de identidad es donde el autor envía (o finge enviar) un correo electrónico de una fuente confiable para así engañar a alguien al hacer clic en el enlace del correo electrónico.

AARA descubrió el correo electrónico de phishing a horas del incidente y tomamos acción inmediata para cerrar las cuentas afectadas y cambiar las contraseñas comprometidas. AARA también alertó a todos los empleados acerca del incidente de phishing para prevenir un impacto más allá y confirmó que el autor no tuvo acceso al sistema electrónico de registros médicos. En respuesta a este incidente, AARA pudo reentrenar al personal en cómo detectar un correo electrónico de estafa phishing y adquirió software adicional para detectar y pelear contra correos electrónicos de estafa phishing más sofisticados en el futuro.

Algunos de los correos electronicos expuestos contenian nombres de pacientes, nombres de los doctores, nombre de la clinica, fechas de nacimiento, sexo al nacer, nombres de seguros medicos, balances, fechas de citas, informacion de salud limitada y/o numeros de identificacion. AARA confirmó que los correos electrónicos expuestos no contienen números de seguro social, información de tarjetas de crédito, o cualquier otra información financiera.

Si la información de algún paciente fue expuesta en los correos electrónicos, AARA ha enviado cartas a los pacientes o alguien más cercano. AARA está ofreciendo a estos pacientes un año gratuito de servicios de monitoreo de identidad, que se le describió en las cartas enviadas a estos pacientes. Estos servicios son proveídos por Kroll, que tiene experiencia extensiva en ayudar a gente que ha tenido sus datos privados expuestos.

Estamos comprometidos a la privacidad de su información personal y sinceramente lamentamos este incidente. Si tiene alguna pregunta acerca de si su información estuvo expuesta en los correos electrónicos, por favor llame al (866) 408-0663 de Lunes a Viernes entre 8:00 a.m. a 5:30 p.m. hora centro.

Reporte de Crédito Gratuito. Manténgase vigilante al revisar sus estados de cuenta y al monitorear su reporte de crédito por cualquier actividad no autorizada, especialmente cualquier actividad que indique fraude y robo de identidad. Usted puede obtener una copia de su reporte de crédito, sin costo, una vez cada 12 meses de cada una de estas tres agencias nacionales de reportes de crédito.

Equifax, PO Box 740241, Atlanta, GA 30374
www.equifax.com 1-800-685-1111

Experian, PO Box 2104, Allen, TX 75013
www.experian.com 1-800-397-3742

TransUnion, PO Box 2000, Chester, PA 19016
www.transunion.com 1-800-888-4213

Para ordenar un reporte gratuito de crédito anual, por favor visite www.annualcreditreport.com o llame sin cargos al 1-877-322-8228.

También puede ordenar un reporte gratuito de crédito anual al enviar por correo un formulario de solicitud completo (la forma está disponible en el sitio web de U.S Federal Trade Comission “FTC” www.consumer.ftc.gov ) a: Annual Credit Report Request Service, PO Box 105281, Atlanta, GA 30348-5281.

Alertas de Fraude. Hay dos tipos de alertas de fraude que usted puede agregar en su reporte de crédito para así notificar a sus acreedores que usted puede que sea víctima de fraude— una alerta inicial y una alerta extensa. Puede pedir que una alerta inicial de fraude sea puesta en su reporte de crédito si sospecha que ha sido, o va a ser víctima de robo de identidad. Una alerta inicial de fraude permanece en su reporte de crédito por lo menos un año. Tal vez tenga una alerta extensa en su reporte de crédito si ya ha sido víctima de robo de identidad y tiene los documentos apropiados de prueba. Una alerta de fraude extensa permanece en su reporte de crédito por siete años. Puede agregar una alerta de fraude en su reporte de crédito al contactar cualquiera de las tres agencias de crédito nacionales.

Congelamiento de Seguridad. Usted tiene la habilidad de establecer un congelamiento de seguridad, también conocido como congelamiento de crédito, en su reporte de crédito de forma gratuita. Un congelamiento de seguridad es intencionado para prevenir créditos, préstamos y servicios de ser aprobados en su nombre sin su consentimiento. Para agregar un congelamiento de seguridad en su reporte de crédito, puede usar un proceso en línea, una llamada telefónica automatizada o enviar una solicitud por escrito a cualquiera de las tres agencias de crédito listadas anteriormente. La siguiente información debe ser incluida al solicitar un congelamiento de seguridad: (1) nombre completo, con inicial de enmedio o cualquier sufijo; (2) Número de Seguro Social; (3) Fecha de nacimiento; (4) Domicilio actual y cualquier domicilio previo en los últimos 5 años; y (5) cualquier reporte de incidente aplicable o reclamo con una agencia policiaca o Registro de Motores y Vehículos. La solicitud también deberá incluir una copia de la tarjeta de identificación dada por el gobierno y una copia de una factura de utilidad reciente o del banco o de aseguranza. Es esencial que cada copia sea legible y muestre su nombre, domicilio actual, y la fecha de emisión. Para más información acerca de obtener un congelamiento de seguridad, vaya a

https://consumer.ftc.gov/articles/what-know-about-credit-freezes-fraud-alerts.

Ley de Información Crediticia Imparcial (FCRA). Usted tiene derechos bajo FCRA. Esto incluye el derecho a saber que está en su expediente; para disputar información incompleta o incorrecta; y para tener agencias de consumidor corrigiendo o eliminar información incorrecta, incompleta, o inverificable. Para más información acerca de FCRA, visita ftc.gov. Usted puede someter una declaración de remoción para remover información puesta en su reporte de crédito como resultado de haber sido víctima de robo de identidad de conformidad a la ley de información crediticia y ley de seguridad de identidad.

Comision Federal de Comercio (FTC). La comisión federal de comercio ofrece asistencia al consumidor y material educativo relacionado al robo de identidad y asuntos de privacidad. Usted puede aprender a cómo protegerse de ser una víctima de robo de identidad, incluyendo alertas de fraude y congelamientos de seguridad al contactar FTC al 877.IDTHEFT (1-877-438-4338), o www.ftc.gov/idtheft. La dirección de correo para FTC es: Federal Trade Comission, Consumer Response Center, 600 Pennsylvania Avenue, NW Washington, DC 20580.

Fiscal General del Estado. Usted también puede contactar al Fiscal General de su estado para obtener información acerca de alertas de fraude y congelamientos de seguridad, ramas de seguridad y cómo prevenir robo de identidad, y reportar cualquier incidente de robo de identidad y fraude.

Si usted detecta un robo de identidad o fraude, inmediatamente reporte el incidente a las autoridades locales, Fiscal General de su estado, y/o al FTC. Usted también podrá obtener copias de los reportes de la policía.