Attention Repatha® and Aimovig® Patients

We recently learned that certain Amgen data was compromised as a result of a data security incident with one of our service providers, ZS Associates. This data included information on some patients who have taken or currently are taking two Amgen medicines, Aimovig® and Repatha®. If you are one of these patients, you will be receiving a letter from Amgen providing you with additional information. If you do not receive a letter from Amgen, your information was not compromised.

The personal information compromised in this incident is limited in scope. At this time, we have not seen any of this information online, including on the dark web. It does not include identifiable health insurance information, social security numbers, or personal financial information such as credit card or bank account numbers. However, out of an abundance of caution, we are offering affected patients complimentary credit and identity monitoring services, and we encourage everyone to remain vigilant against incidents of identity theft and fraud, to review your account statements, and to monitor your credit reports for suspicious activity.

The privacy of our patients and the security of our data is of utmost importance to Amgen. We regret that this incident occurred and we apologize to affected patients for the uncertainty and inconvenience this may cause. We are working diligently with ZS Associates and federal law enforcement on the ongoing investigation into the matter and confirming that ZS Associates has appropriate security measures in place and are implementing enhancements and improvements to protect against a similar reoccurrence. Based on available data and our latest evaluation, it does not appear that Amgen’s network was ever compromised.


Frequently Asked Questions

I recently received a letter from Amgen. What happened?

  • One of our third-party vendors, ZS Associates recently notified Amgen that certain Amgen data was compromised as a result of a data security incident. We are working diligently to understand the full scope of the incident, including Amgen compromised patient data. At this time, we believe the accessed data is limited to some patients that may have been prescribed Aimovig or Repatha.

Why am I being notified?

  • Amgen is proactively notifying the affected patients. Your data may have been accessed due to this incident.
  • At this time, we have identified certain patient identifiable health information that was accessed:
    • Repatha patients: Based on our review to date, these files included names; email addresses; city, state and zip code of residence; age; gender; and whether a person had commercial or government health insurance.
    • Aimovig patients: Based on our review to date, these files included first names and email addresses
  • No identifiable health insurance information, social security numbers, or personal financial information such as credit card or bank account numbers were involved.
  • Although no financial information or social security information was involved, out of abundance of caution, we are providing you with one-year complimentary credit and identity monitoring services. They can also visit our website at www.amgen.com/dataincident.
  • We also encourage you to remain vigilant against incidents of identity theft and fraud, to review your account statements, and to monitor your credit reports for suspicious activity.

I received a letter in the mail. Is this fraudulent, a scam or a real incident?

  • Applicable laws require that we notify you by mail. We can confirm that our vendor ZS Associates experienced a data security incident and that is why you are receiving the notification letter providing you with information and resources to assist with questions.

What information was disclosed?

  • The data security incident involved unauthorized access to certain data. ZS Associates has advised Amgen that the incident has been fully contained and the accessed data is limited to some patients that may have been prescribed Aimovig or Repatha.
    • Repatha patients: Based on our review to date, these files included names; email addresses; city, state and zip code of residence; age; gender; and whether a person had commercial or government health insurance.
    • Aimovig patients: Based on our review to date, these files included first names and email addresses
  • No identifiable health insurance information, social security numbers, or personal financial information such as credit card or bank account numbers were involved.
  • Although no financial information or social security information was involved, out of abundance of caution, we are providing you with one-year complimentary credit and identity monitoring services. They can also visit our website at www.amgen.com/dataincident.
  • We also encourage you to remain vigilant against incidents of identity theft and fraud, to review your account statements, and to monitor your credit reports for suspicious activity.

Was my personal data stolen in the breach?

  • ZS Associates has notified Amgen of unauthorized access to certain Amgen data. We are working diligently with ZS Associates to understand the full scope of the incident.
  • At this time, we have identified certain patient identifiable health information that was accessed.
    • Repatha patients: Based on our review to date, these files included names; email addresses; city, state and zip code of residence; age; gender; and whether a person had commercial or government health insurance.
    • Aimovig patients: Based on our review to date, these files included first names and email addresses
  • No identifiable health insurance information, social security numbers, or personal financial information such as credit card or bank account numbers were involved.
  • ZS Associates has notified Amgen that they have eliminated the access to their system and managed the security threat.
  • Amgen is actively assessing information made available by our vendor and will continue to closely monitor the situation.

Do you know who was involved in the attack? Who perpetrated the breach?

  • Amgen and ZS Associates are working diligently with investigators, including federal law enforcement, and are diligently investigating this matter. Due to the ongoing nature of the investigation, we are not able to provide any additional information at this time.

Are you changing any of your operations after the breach? How will you make sure this kind of breach doesn’t happen again?

  • We are working diligently with ZS Associates on this investigation and confirming that ZS Associates has appropriate security measures in place and are implementing enhancements and improvements to protect against a similar reoccurrence.

Are you still working with the vendor?

  • Yes. We are continuing to work diligently with ZS Associates on this investigation and confirming that ZS Associates has appropriate security measures in place and are implementing enhancements and improvements to protect against a similar reoccurrence.

Is Amgen notifying all affected patients?

  • Yes. Amgen is currently in the process of notifying the Aimovig and Repatha patients whose data was accessed during the incident.

What can I do now?

  • Although no financial information or social security information was involved, out of abundance of caution, we are providing you with one-year complimentary credit and identity monitoring services. You can also visit our website at www.amgen.com/dataincident.
  • We also encourage you to remain vigilant against incidents of identity theft and fraud, to review your account statements, and to monitor your credit reports for suspicious activity.

How many patients were impacted? Are we certain this is the extent of the breach?

  • At this time, approximately 100,000 patients have been affected.
    • Repatha: Amgen is notifying approximately 98,000 Repatha patients
    • Aimovig: Amgen is notifying approximately 7,300 Aimovig patients

How will a patient know if they are impacted?

  • Amgen is proactively notifying the affected patients.
  • Although no financial information or social security information was involved, out of abundance of caution, we are providing you with one-year complimentary credit and identity monitoring services. They can also visit our website at www.amgen.com/dataincident.
  • We also encourage you to remain vigilant against incidents of identity theft and fraud, to review your account statements, and to monitor your credit reports for suspicious activity.

What type of data was compromised?

  • The data security incident involved unauthorized access to certain patient identifiable health information.
  • No identifiable health insurance information, social security numbers, or personal financial information such as credit card or bank account numbers were involved.

Do patients need to take any immediate steps to protect their data?

  • Amgen is proactively notifying the affected patients.
  • Although no financial information or social security information was involved, out of abundance of caution, we are providing you with one-year complimentary credit and identity monitoring services. They can also visit our website at www.amgen.com/dataincident.
  • We also encourage you to remain vigilant against incidents of identity theft and fraud, to review your account statements, and to monitor your credit reports for suspicious activity.

When was Amgen notified and what did you do?

  • On May 17, 2021, ZS Associates became aware of a security incident in which an unauthorized party compromised a ZS Associates service account and downloaded files related to Amgen between April 21, 2021 and May 14, 2021.
  • Upon receiving notice from ZS Associates, Amgen immediately commenced an investigation to better understand the nature and scope of the incident and any impact on Amgen patients and data. Additionally, we retained a third-party forensic firm to conduct a thorough investigation of the data and information. Amgen conducted extensive review of the data to identify affected individuals and contact information in order to provide notification.
  • We are continuing to work diligently with ZS Associates on this investigation and confirming that ZS Associates has appropriate security measures in place and are implementing enhancements and improvements to protect against a similar reoccurrence.
  • The incident did not affect Amgen’s own systems. In addition, in response to the vendor incident, we have implemented enhanced cybersecurity measures as we continue the investigation

Why has it taken so long to notify me?

  • On May 17, 2021, ZS Associates became aware of a security incident in which an unauthorized party compromised a ZS Associates service account and downloaded files related to Amgen between April 21, 2021 and May 14, 2021.
  • On May 17, 2021, ZS Associates identified and disabled the compromised account and has been working with law enforcement and outside experts to investigate the security incident. ZS Associates received a request from Law enforcement to maintain the incident as confidential due to their ongoing investigation and provided ZS Associates with permission to release data to impacted parties on May 25, 2021. Amgen was notified by ZS Associates on May 27, 2021.
  • Upon receiving notice from ZS Associates, Amgen immediately commenced an investigation to better understand the nature and scope of the incident and any impact on Amgen patients and data. Additionally, we retained a third-party forensic firm to conduct a thorough investigation of the data and information. Amgen conducted extensive review of the data to identify affected individuals and contact information in order to provide notification.
  • The incident did not affect Amgen’s own systems. In addition, in response to the vendor incident, we have implemented enhanced cybersecurity measures as we continue the investigation.

What did ZS Associates do and when?

  • On May 17, 2021, ZS Associates became aware of a security incident in which an unauthorized party compromised a ZS Associates service account and downloaded files related to Amgen between April 21, 2021 and May 14, 2021.
  • On May 17, 2021, ZS Associates identified and disabled the compromised account and has been working with law enforcement and outside experts to investigate the security incident. ZS Associates received a request from Law enforcement to maintain the incident as confidential due to their ongoing investigation and provided ZS Associates with permission to release data to impacted parties on May 25, 2021.
  • Amgen was notified by ZS Associates on May 27, 2021.

Does Amgen conducts regular security audits of its third-party vendors?

  • Yes. The company is committed to continuing to enhance the information security practices. The privacy of our patients and the security of our data is of utmost importance to Amgen.

How many vendors does Amgen use that have access to this kind of data?

  • The privacy of our patients and the security of our data is of utmost importance to Amgen. We take our obligation to safeguard personal information – including by our third-party vendors – very seriously.

How can I learn more about what ZS Associates is doing in response to this incident?

  • You can submit any questions you may have for ZS Associates via email at: dataprivacy@zs.com.

Who is Kroll? I thought my information was being held by Amgen.

  • Kroll has been hired by Amgen to provide you with information and services following the incident.

Atención a los pacientes de Repatha® y Aimovig®

Recientemente nos enteramos de que ciertos datos de Amgen se vieron comprometidos como resultado de un incidente de seguridad de datos con uno de nuestros proveedores de servicios, ZS Associates. Estos datos incluían información sobre algunos pacientes que han tomado o están tomando actualmente dos medicamentos de Amgen, Aimovig® y Repatha®. Si Usted es uno de estos pacientes, recibirá una carta de Amgen con información adicional. Si Usted no recibe una carta de Amgen, su información no se vio comprometida.

La información personal comprometida en este incidente tiene un alcance limitado. En este momento, no hemos visto nada de esta información en línea, incluso en la web oscura. La información personal comprometida no incluye información identificable del seguro médico, números de seguro social o información financiera personal, como números de tarjetas de crédito o cuentas bancarias. Sin embargo, por precaución, ofrecemos a los pacientes afectados servicios complementarios de monitoreo de crédito e identidad, y alentamos a todos a permanecer atentos a los incidentes de robo de identidad y fraude, revisar sus estados de cuenta y monitorear sus informes crediticios para detectar actividades sospechosas.

La privacidad de nuestros pacientes y la seguridad de nuestros datos es de suma importancia para Amgen. Lamentamos que haya ocurrido este incidente y pedimos disculpas a los pacientes afectados por la incertidumbre y los inconvenientes que esto puede causar. Estamos trabajando diligentemente con ZS Associates y la policía federal en la investigación en curso sobre el asunto y confirmando que ZS Associates tiene implementadas las medidas de seguridad adecuadas y está implementando mejoras y avances para protegerse contra una recurrencia similar. Según los datos disponibles y nuestra última evaluación, no parece que la red de Amgen se haya visto comprometida en ningún momento.


Preguntas frecuentes

Hace poco recibí una carta de Amgen. ¿Qué ha pasado?

  • Uno de nuestros proveedores externos, ZS Associates, notificó recientemente a Amgen que ciertos datos de Amgen se vieron comprometidos como resultado de un incidente de seguridad de datos. Estamos trabajando diligentemente para comprender el alcance completo del incidente, incluidos los datos de pacientes de Amgen que hayan sido comprometidos. En este momento, creemos que los datos accesados se limitan a algunos pacientes a los que se les puede haber recetado Aimovig o Repatha.

¿Por qué se me notifica?

  • Amgen está notificando proactivamente a los pacientes afectados. Es posible que se haya accedido a sus datos debido a este incidente.
  • En este momento, hemos identificado cierta información de salud identificable del paciente a la que se accedió.
    • Pacientes de Repatha: Según nuestra revisión hasta la fecha, estos archivos incluían nombres; direcciones de correo electrónico; ciudad, estado y código postal de residencia; edad; sexo; y si una persona tenía seguro de salud comercial o gubernamental.
    • Pacientes de Aimovig: Según nuestra revisión hasta la fecha, estos archivos incluían nombres y direcciones de correo electrónico
  • No hubo información identificable de seguro de salud, números de seguro social o información financiera personal, como números de tarjetas de crédito o cuentas bancarias.
  • Aunque no hubo información financiera o de seguridad social involucrada, por precaución, le proporcionamos servicios de monitoreo de identidad y crédito gratuitos por un año. También pueden visitar nuestro sitio web en www.amgen.com/dataincident.
  • También lo alentamos a permanecer alerta contra incidentes de robo de identidad y fraude, a revisar sus estados de cuenta y a monitorear sus informes de crédito para detectar actividades sospechosas.

Recibí una carta por correo. ¿Es esto fraudulento, una estafa o un incidente real?

  • Las leyes aplicables requieren que le notifiquemos por correo. Podemos confirmar que nuestro proveedor ZS Associates experimentó un incidente de seguridad de datos y es por eso que está recibiendo la carta de notificación que le proporciona información y recursos para ayudarlo con las preguntas.

¿Qué información se divulgó?

  • El incidente de seguridad de datos implicó el acceso no autorizado a ciertos datos. ZS Associates ha informado a Amgen que el incidente ha sido completamente contenido y los datos a los que se ha accedido se limitan a algunos pacientes a los que se les puede haber recetado Aimovig o Repatha.
    • Pacientes de Repatha: Según nuestra revisión hasta la fecha, estos archivos incluían nombres; direcciones de correo electrónico; ciudad, estado y código postal de residencia; edad; sexo; y si una persona tenía seguro de salud comercial o gubernamental.
    • Pacientes de Aimovig: Según nuestra revisión hasta la fecha, estos archivos incluían nombres y direcciones de correo electrónico
  • No hubo información identificable de seguro de salud, números de seguro social o información financiera personal, como números de tarjetas de crédito o cuentas bancarias.
  • Aunque no hubo información financiera o de seguridad social involucrada, por precaución, le proporcionamos servicios de monitoreo de identidad y crédito gratuitos por un año. También pueden visitar nuestro sitio web en www.amgen.com/dataincident.
  • También lo alentamos a permanecer alerta contra incidentes de robo de identidad y fraude, a revisar sus estados de cuenta y a monitorear sus informes de crédito para detectar actividades sospechosas.

¿Mis datos personales fueron robados en la fuga de información?

  • ZS Associates ha notificado a Amgen el acceso no autorizado a ciertos datos de Amgen. Estamos trabajando diligentemente con ZS Associates para comprender el alcance completo del incidente.
  • En este momento, hemos identificado cierta información de salud identificable del paciente a la que se accedió.
    • Pacientes de Repatha: Según nuestra revisión hasta la fecha, estos archivos incluían nombres; direcciones de correo electrónico; ciudad, estado y código postal de residencia; edad; sexo; y si una persona tenía seguro de salud comercial o gubernamental.
    • Pacientes de Aimovig: Según nuestra revisión hasta la fecha, estos archivos incluían nombres y direcciones de correo electrónico
  • No hubo información identificable de seguro de salud, números de seguro social o información financiera personal, como números de tarjetas de crédito o cuentas bancarias.
  • ZS Associates ha notificado a Amgen que han eliminado el acceso a su sistema y gestionado la amenaza de seguridad.
  • Amgen está evaluando activamente la información disponible por nuestro proveedor y continuará monitoreando de cerca la situación.

¿Sabe quién estuvo involucrado en el ataque? ¿Quién perpetró la violación?

  • Amgen y ZS Associates están trabajando diligentemente con los investigadores, incluida la policía federal, y están investigando diligentemente este asunto. Debido a la naturaleza en curso de la investigación, no podemos proporcionar ninguna información adicional en este momento.

¿Está cambiando alguna de sus operaciones después de la fuga de información? ¿Cómo se asegurará de que este tipo de fuga no vuelva a suceder?

  • Estamos trabajando diligentemente con ZS Associates en esta investigación y confirmando que ZS Associates cuenta con las medidas de seguridad adecuadas y estamos implementando mejoras y avances para proteger contra una recurrencia similar.

¿Sigue trabajando con el proveedor?

  • Sí. Continuamos trabajando diligentemente con ZS Associates en esta investigación y confirmando que ZS Associates cuenta con las medidas de seguridad adecuadas y estamos implementando mejoras y avances para proteger la informacion contra una recurrencia similar.

¿Amgen está notificando a todos los pacientes afectados?

  • Sí. Amgen está actualmente en el proceso de notificar a los pacientes de Aimovig y Repatha a cuyos datos se accedió durante el incidente.

¿Qué puedo hacer ahora?

  • Aunque no hubo información financiera o de seguridad social involucrada, por precaución, le estamos proporcionando servicios de monitoreo de identidad y crédito gratuitos de un año. También puede visitar nuestro sitio web en www.amgen.com/dataincident.
  • También lo alentamos a permanecer alerta contra incidentes de robo de identidad y fraude, a revisar sus estados de cuenta y a monitorear sus informes de crédito para detectar actividades sospechosas.

¿Cuántos pacientes se vieron afectados? ¿Estamos seguros de que este es el alcance de la violación?

  • En este momento, aproximadamente 100,000 pacientes han sido afectados.
    • Repatha: Amgen está notificando aproximadamente a 98,000 pacientes de Repatha
    • Aimovig: Amgen está notificando a aproximadamente 7.300 pacientes de Aimovig

¿Cómo sabrá un paciente si se ve afectado?

  • Amgen está notificando proactivamente a los pacientes afectados.
  • Aunque no hubo información financiera o de seguridad social involucrada, por precaución, le proporcionamos servicios de monitoreo de identidad y crédito gratuitos por un año. También pueden visitar nuestro sitio web en www.amgen.com/dataincident.
  • También lo alentamos a permanecer alerta contra incidentes de robo de identidad y fraude, a revisar sus estados de cuenta y a monitorear sus informes de crédito para detectar actividades sospechosas.

¿Qué tipo de datos se vieron comprometidos?

  • El incidente de seguridad de datos involucró el acceso no autorizado a cierta información de salud identificable del paciente.
  • No hubo información identificable de seguro de salud, números de seguro social o información financiera personal, como números de tarjetas de crédito o cuentas bancarias.

¿Los pacientes deben tomar medidas inmediatas para proteger sus datos?

  • Amgen está notificando proactivamente a los pacientes afectados.
  • Aunque no hubo información financiera o de seguridad social involucrada, por precaución, le proporcionamos servicios de monitoreo de identidad y crédito gratuitos por un año. También pueden visitar nuestro sitio web en www.amgen.com/dataincident.
  • También lo alentamos a permanecer alerta contra incidentes de robo de identidad y fraude, a revisar sus estados de cuenta y a monitorear sus informes de crédito para detectar actividades sospechosas.

¿Cuándo se notificó a Amgen y qué hizo?

  • El 17 de mayo de 2021, ZS Associates se dio cuenta de un incidente de seguridad en el que una parte no autorizada comprometió una cuenta de servicio de ZS Associates y descargó archivos relacionados con Amgen entre el 21 de abril de 2021 y el 14 de mayo de 2021.
  • Tras recibir la notificación de ZS Associates,Amgen inició inmediatamente una investigación para comprender mejor la naturaleza y el alcance del incidente y cualquier impacto en los pacientes y datos de Amgen. Además, contratamos a una empresa forense de terceros para llevar a cabo una investigación exhaustiva de los datos y la información. Amgen llevó a cabo una amplia revisión de los datos para identificar a las personas afectadas y la información de contacto con el fin de proporcionar una notificación.
  • Continuamos trabajando diligentemente con ZS Associates en esta investigación y confirmando que ZS Associates cuenta con las medidas de seguridad adecuadas y estamos implementando mejoras y avances para proteger contra una recurrencia similar.
  • El incidente no afectó a los propios sistemas de Amgen. Además, en respuesta al incidente del proveedor, hemos implementado medidas de ciberseguridad mejoradas a medida que continuamos la investigación

¿Por qué se ha tardado tanto en notificarme?

  • El 17 de mayo de 2021, ZS Associates se dio cuenta de un incidente de seguridad en el que una parte no autorizada comprometió una cuenta de servicio de ZS Associates y descargó archivos relacionados con Amgen entre el 21 de abril de 2021 y el 14 de mayo de 2021.
  • El 17 de mayo de 2021, ZS Associates identificó y deshabilitó la cuenta comprometida y ha estado trabajando con la policía y expertos externos para investigar el incidente de seguridad. ZS Associates recibió una solicitud de la policía para mantener el incidente como confidencial debido a su investigación en curso y proporcionó a ZS Associates permiso para divulgar datos a las partes afectadas el 25 de mayo de 2021. Amgen fue notificado por ZS Associates el 27 de mayo de 2021.
  • Tras recibir la notificación de ZS Associates,Amgen inició inmediatamente una investigación para comprender mejor la naturaleza y el alcance del incidente y cualquier impacto en los pacientes y datos de Amgen. Además, contratamos a una empresa forense de terceros para llevar a cabo una investigación exhaustiva de los datos y la información. Amgen llevó a cabo una amplia revisión de los datos para identificar a las personas afectadas y la información de contacto con el fin de proporcionar una notificación.
  • El incidente no afectó a los propios sistemas de Amgen. Además, en respuesta al incidente del proveedor, hemos implementado medidas de ciberseguridad mejoradas a medida que continuamos la investigación.

¿Qué hizo ZS Associates y cuándo?

  • El 17 de mayo de 2021, ZS Associates se dio cuenta de un incidente de seguridad en el que una parte no autorizada comprometió una cuenta de servicio de ZS Associates y descargó archivos relacionados con Amgen entre el 21 de abril de 2021 y el 14 de mayo de 2021.
  • El 17 de mayo de 2021, ZS Associates identificó y deshabilitó la cuenta comprometida y ha estado trabajando con la policía y expertos externos para investigar el incidente de seguridad. ZS Associates recibió una solicitud de la policía para mantener el incidente como confidencial debido a su investigación en curso y proporcionó a ZS Associates permiso para divulgar datos a las partes afectadas el 25 de mayo de 2021.
  • Amgen fue notificado por ZS Associates el 27 de mayo de 2021.

¿Amgen realiza auditorías de seguridad periódicas de sus proveedores externos?

  • Sí. La compañía se compromete a continuar mejorando las prácticas de seguridad de la información. La privacidad de nuestros pacientes y la seguridad de nuestros datos es de suma importancia para Amgen.

¿Cuántos proveedores utiliza Amgen que tienen acceso a este tipo de datos?

  • La privacidad de nuestros pacientes y la seguridad de nuestros datos es de suma importancia para Amgen. Nos tomamos muy en serio nuestra obligación de salvaguardar la información personal, incluida la de nuestros proveedores externos.

¿Como puedo aprender mas acerca de lo que ZS Associates esta haciendo en respuesta a este incidente?

  • Usted puede enviar cualquier pregunta que tenga para ZS Associates por medio del correo electronico: dataprivacy@zs.com.

¿Quién es Kroll? Pensé que mi información estaba en poder de Amgen.

  • Kroll ha sido contratado por Amgen para proporcionarle información y servicios después del incidente.