Blog

Les plus grandes violations de données médicales de l'histoire

Les plus grandes violations de données médicales de l



En avril 2019, fuites de données de santé atteint un niveau record . Et depuis quatre ans, le domaine de la santé a eu le deuxième nombre le plus élevé de violations par rapport à d’autres secteurs. Au total, près de 10 millions de dossiers ont été exposés lors de violations de soins de santé aux États-Unis rien qu'en 2018 . La prévalence et l’ampleur des violations de données médicales sont très préoccupantes, surtout si l’on considère qu’une grande partie des informations piratées peuvent être précieuses pour les criminels.

En particulier, armés des informations médicales d’une personne, les voleurs peuvent facilement commettre un vol d’identité médicale pour recevoir un traitement, obtenir des ordonnances de médicaments ou faire de fausses déclarations sous le nom de la victime. Les conséquences de la fraude à l’assurance médicale sur les victimes comprennent d’importantes pertes financières, une mauvaise cote de crédit et un accès limité aux soins de santé urgents. Quoi de plus, les données médicales sont souvent accompagnées d’informations personnelles , y compris les numéros de sécurité sociale (SSN), ainsi que les informations financières. Ces éléments de données peuvent être vendus sur le marché noir ou utilisés dans toute une série de délits, notamment la fraude par carte de crédit et le vol d'identité à part entière.



Dans cet article, nous révélons les plus grandes violations de données médicales de l’histoire. Les violations dans lesquelles 1,5 million de documents ou plus ont été exposés ont été ajoutées à la liste. Nous avons répertorié les incidents par ordre chronologique, en commençant par le plus récent.

1. Diagnostic de quête (2019)

Taille de brèche : 11,9 M



American Medical Collection Agency (AMCA) est un fournisseur de services de facturation médicale qui travaille avec Quest Diagnostics. En juin 2019, AMCA a découvert qu'un utilisateur non autorisé pouvait accéder à ses systèmes et potentiellement voler les données des patients Quest. Les informations comprenaient près de 12 millions de dossiers clients, notamment des informations médicales, des SSN et des données financières.

deux. MedicareSupplement.com (2019)

Taille de brèche : 5 M

En mai 2019, Comparitech a travaillé avec le chercheur en sécurité Bob Diachenko pour découvrir une base de données exposée appartenant apparemment à MedicareSupplement.com. Cette société américaine de commercialisation d’assurance propose des devis sur l’assurance médicale complémentaire.

La base de données – qui semblait contenir des données sur les prospects marketing – a été laissée ouverte et accessible en ligne, et a été indexée par le moteur de recherche BinaryEdge. Les informations contenues dans chaque enregistrement comprenaient le prénom et le nom, l'adresse complète, l'adresse IP, l'adresse e-mail, la date de naissance, le sexe et les informations liées au marketing. Plus de 200 000 enregistrements contenaient également des informations sur le domaine d'intérêt de l'utilisateur en matière d'assurance, par exemple l'assurance contre le cancer.

Nous avons informé l'entreprise de l'exposition et la base de données a depuis été sécurisée. On ne sait pas si des parties malveillantes y ont accédé alors qu’il était laissé ouvert.

3. Le guide de la salle (2019)

Taille de brèche : 2,7 M

Une autre violation importante s’est produite en Suède en 2019, impliquant la ligne d’assistance téléphonique de soins de santé Vardguiden. La publication technologique suédoise Computer Sweden a révélé que les enregistrements audio de millions d’appels à la hotline étaient exposés en ligne et accessibles à tous. Les enregistrements résidaient sur un serveur Web ouvert qui n'avait aucune exigence de cryptage ou d'authentification. Bien que cette faille ait été découverte en février 2019, les appels remontent à 2013 et pourraient avoir été révélés entre-temps.

La violation a affecté 2,7 millions d'appels, soit 170 000 heures d'audio sensible. Les types d'informations divulguées différaient d'un appel à l'autre, mais la plupart incluaient des données médicales telles que les antécédents médicaux, les affections et les médicaments liés à l'appelant ou à ses enfants. Dans certains cas, les appelants ont fourni leur SSN et de nombreux fichiers d'enregistrement étaient associés à des numéros de téléphone.

On ne sait pas encore clairement qui est responsable de cette violation. Le sous-traitant thaïlandais Medicall, qui serait responsable de cette erreur, nie que cela se soit produit.

Quatre. Groupe Santé Immédiate (2019)

Taille de brèche : 1,57 M

Inmediata Health Group est un administrateur de la santé portoricain qui fournit des services de centre d'échange, des logiciels et des outils d'externalisation à divers établissements et praticiens de la santé. En janvier 2019, l’entreprise s’est rendu compte qu’un problème dans ses systèmes signifiait que les pages Web internes étaient indexées par les moteurs de recherche.

Plus de 1,5 million de patients ont été touchés par la violation et les informations divulguées comprenaient les noms, adresses, sexe, dates de naissance, données sur les réclamations médicales et, dans certains cas, les SSN.

5. Solutions AccuDoc (2018)

Taille de brèche : 2,65 M

AccuDoc Solutions Inc. fournit des services de facturation de soins de santé et a fait l'objet d'une importante violation de données en septembre 2018. La société est responsable de l'exploitation du système de paiement en ligne d'Atrium Health. Il s'agit d'un réseau de plus de 40 hôpitaux répartis en Caroline du Nord, en Caroline du Sud et en Géorgie.

La base de données d'Atrium Health (détenue par AccuDoc Solutions) a été piratée par des pirates informatiques qui ont pu consulter les informations sur les patients, notamment les noms, adresses, informations sur l'assurance maladie, les dates de services, etc. Dans certains cas (environ 700 000), des SSN ont également été exposés.

6. Santé Sud Est (2018)

Taille de brèche : 2,9 M

Health South East RHF est une organisation de soins de santé qui gère de nombreux hôpitaux norvégiens. En janvier 2018, l’organisation a révélé une violation qui a affecté les données de plus de la moitié de la population norvégienne. La fuite est le résultat d’une tentative de piratage, mais on ne sait pas exactement à quelles informations les pirates ont accédé.

7. Santé de la bannière (2016)

Taille de brèche : 3,62 M

Banner Health, un système de santé basé à Phoenix, a été au centre d'un piratage en juin 2016. La violation semblait initialement concerner uniquement les données financières des personnes qui effectuaient des achats dans des kiosques de nourriture et de boissons dans certains emplacements Banner. Cependant, il a été découvert plus tard que les pirates auraient pu avoir accès aux informations sur les patients, notamment les noms, adresses, noms des médecins, informations sur les réclamations, informations sur l’assurance maladie, les SSN, etc. Jusqu'à 3,7 millions de personnes pourraient avoir été touchées.

8. Produits Newkirk (2016)

Taille de brèche : 3,47 M

Newkirk Products Inc. fournit des cartes d'identité de soins de santé à divers fournisseurs de régimes d'assurance maladie. En mai 2016, un pirate informatique a exploité une faiblesse du portail administratif, accédant à un serveur stockant une mine d’informations sur les patients. Les données comprenaient les noms, adresses, numéros d’identification, noms des personnes à charge, dates de naissance et numéros d’identification Medicaid. Newkirk a dû informer environ 3,3 millions de personnes de cette violation.

9. Oncologie du 21e siècle (2015)

Taille de brèche : 2,2 M

21st Century Oncology (21CO), un prestataire de soins de santé basé en Floride, a subi une importante faille de sécurité en octobre 2015. L'entreprise, qui exploitait à l'époque près de 200 centres de traitement du cancer, a été informée par le FBI qu'un intrus avait accédé aux informations des patients. Cela comprenait les noms, les SSN, les informations médicales et les données d'assurance. La brèche a touché environ 2,2 millions de patients.

21CO a proposé de fournir gratuitement un an de services de protection de l’identité aux patients. Cependant, l'entreprise a été condamnée à une amende de 2,3 millions de dollars par le ministère de la Santé et des Services sociaux et a été poursuivie en justice par de nombreux patients. Elle a fait faillite (principalement en raison d'autres problèmes financiers), mais depuis 2019, poursuites contre l'entreprise liées à la violation de 2015 sont en cours.

dix. Excellus BlueCross BlueShield (2015)

Taille de brèche : 10,5 M

Une attaque contre Excellus BlueCross BlueShield a en fait commencé en 2013, même si elle n’a été découverte qu’en août 2015. La faille a été révélée après que plusieurs assureurs maladie ont subi des violations majeures et qu’Excellus a engagé des enquêteurs légistes pour évaluer les systèmes informatiques de l’entreprise.

Les données étaient cryptées, mais les pirates ont réussi à obtenir des contrôles administratifs, rendant le cryptage inutile. Les données personnelles appartenant à 10,5 millions de personnes ont été impliquées dans la violation. Les informations obtenues par les pirates comprenaient les noms, adresses, dates de naissance, SSN, numéros de régime de santé, informations financières et informations sur les réclamations.

onze. Université de Californie, système de santé de Los Angeles (2015)

Taille de brèche : 4,5 M

Le réseau informatique du système de santé de l’Université de Californie à Los Angeles (UCLA) a été attaqué par des pirates dès septembre 2014, bien que la faille n’ait été découverte qu’en juillet 2015. Les pirates ont réussi à accéder à des informations sensibles sur jusqu’à 4,5 millions de personnes. Les données violées peuvent inclure des noms, des dates de naissance, des SSN, des numéros de Medicare ou d'autres numéros de régime de santé, ainsi que des informations sur les antécédents médicaux.

L'organisation a été critiquée car les données auraient dû être cryptées pour éviter tout accès non autorisé. En effet, un recours collectif a été déposé au nom des victimes et le système de santé de l'UCLA a dû payer une somme Règlement de 7,5 millions de dollars .

12. Ingénierie informatique médicale (2015)

Taille de brèche : 3,5 M

Basé en Indiana, Medical Informatics Engineering fournit des logiciels et des services de dossiers médicaux électroniques. En 2015, la filiale NoMoreClipboard de l’entreprise a subi une faille majeure lorsque des pirates ont accédé aux informations médicales de 3,5 millions de personnes. La société a récemment réglé une affaire de violation de la HIPAA liée à cette violation et a dû payer 100 000 $.

13. Hymne Croix Bleue (2015)

Taille de brèche : 78,8 M

Une autre entreprise touchée par une pénalité (bien que celle-ci soit beaucoup plus importante) était Anthem Blue Cross. Découverte en janvier 2015, une cyberattaque contre l'organisation – qui pourrait avoir commencé dès 2014 – a exposé les informations médicales de près de 79 millions de personnes.

Les données divulguées comprenaient des noms, des dates de naissance, des adresses postales, des adresses e-mail, des cartes d'identité médicales, des SSN ainsi que des informations sur l'emploi et les revenus.

L'entreprise a dû débourser un règlement de 115 millions de dollars en 2017 et a été touchée en 2018. avec une amende de 16 millions de dollars .

14. Diamètre Croix Bleue (2015)

Taille de brèche : 11 M

En janvier 2015, Premera Blue Cross a découvert une violation qui s'est réellement produite en mai 2014. La portée de la violation était large puisque des données relatives à des patients remontant jusqu'à treize ans pouvaient avoir été exposées. Au total, jusqu'à 11 millions de clients pourraient avoir été concernés.

Les données violées comprenaient les dossiers médicaux, les SSN, les dates de naissance et les informations de compte bancaire. Un recours collectif est en cours contre l'organisation dans laquelle les plaignants ont récemment accusé Premera de détruire des preuves cruciales pour l'affaire.

quinze. Défendre les soins de santé (2013)

Taille de brèche : 4,03 M

Advocate Medical Group exploite 12 hôpitaux et plus de 200 autres centres de traitement. En août 2014, l’organisation basée dans l’Illinois a commencé à alerter les patients qu’elle avait fait l’objet d’une violation de données un mois plus tôt. Cette violation est survenue à la suite du vol physique de quatre ordinateurs protégés par mot de passe dans un bureau administratif.

Même si les ordinateurs étaient protégés par mot de passe, ils n’étaient pas cryptés. Les informations divulguées comprenaient les noms, adresses, dates de naissance et SSN. Il comprenait également une mine de données médicales telles que le médecin traitant, les numéros de dossier médical et les informations sur l'assurance maladie. Il y avait même des informations détaillées sur les médecins eux-mêmes, notamment les SSN, les identifiants nationaux des prestataires (NPI) et les numéros de licence.

L'organisation a ensuite été condamnée à payer une indemnité de 5,55 millions de dollars, la plus importante du genre à l'époque.

16. Fondation médicale Sutter (2011)

Taille de brèche : 4,24 M

La Sutter Medical Foundation est un système de santé à but non lucratif du nord de la Californie. L'entreprise a subi une violation de données concernant des informations sur 4,24 millions de patients lorsqu'un ordinateur de bureau a été volé dans un cabinet médical de Sacramento.

Semblable à la faille Advocate, l’ordinateur était protégé par un mot de passe mais il n’était pas crypté. Les données comprenaient des informations personnelles et médicales, mais pas les SSN ou les numéros de régime de santé.

L'organisation a été poursuivie dans le cadre d'un recours collectif pour plus d'un milliard de dollars, mais celui-ci a été rejeté par la suite.

17. TRICARE (2011)

Taille de brèche : 4,9 M

TRICARE est le programme de santé du ministère de la Défense. En 2011, des bandes de sauvegarde contenant des dossiers de santé électroniques ont été volées dans la voiture d'un employé du programme. Ils contenaient des données sur 4,9 millions de patients, notamment des noms, des SSN, des adresses, des numéros de téléphone, des notes cliniques et des informations sur les ordonnances.

18. Service national de santé du Royaume-Uni (2011)

Taille de brèche : 8,63 M

En juin 2011, les journaux britanniques ont fait état d’une violation massive du National Health Service (NHS). 20 ordinateurs portables ont apparemment disparu d'un entrepôt d'un organisme de recherche médicale du NHS. L'un des ordinateurs contenait des données sur 8,63 millions de patients et était protégé par mot de passe mais non crypté. Les informations n’incluaient pas les noms, mais incluaient les codes postaux, l’origine ethnique, l’âge et les informations sur les visites à l’hôpital.

19. Réseau de santé (2011)

Taille de brèche : 1,9 M

En mars 2011, neuf serveurs ont disparu du centre de données IBM de Health Net en Californie. 1,9 million de clients existants et passés de l'assureur auraient été concernés. Les informations stockées sur les serveurs comprenaient des noms, des adresses, des SSN, des informations financières et des informations sur la santé.

vingt. Société de la santé et des hôpitaux de la ville de New York (2010)

Taille de brèche : 1,7 M

En décembre 2010, des bandes non cryptées appartenant à la New York City Health and Hospitals Corporation ont été volées dans un camion qui transportait les bandes vers un lieu de stockage sécurisé. Ils contenaient des détails sur jusqu'à 1,7 million de patients, notamment leurs noms, adresses, numéros de sécurité sociale et antécédents médicaux. À l’époque, il s’agissait de la plus grande violation signalée en vertu de la règle de notification des violations de la loi HITECH (Health Information Technology for Economic and Clinical Health), en vigueur depuis septembre 2009.

vingt-et-un. Réseau de santé (2009)

Taille de brèche : 1,5 M

La violation de Health Net en 2011 mentionnée ci-dessus n’était pas la première violation majeure. En novembre 2009, elle a annoncé avoir fait l'objet d'une violation majeure en mai de la même année. Un disque dur contenant des données sur 1,5 million de clients, notamment des informations financières et médicales, a disparu.

22. Département de la Santé de Virginie (2009)

Taille de brèche : 8,26 M

Une agence impliquée dans le ministère de la Santé de Virginie a été au centre d'une violation massive en mai 2009. L'agence était en charge d'une base de données de prescriptions en ligne qui a été rançonnée par des pirates informatiques qui ont exigé 10 millions de dollars pour sa restitution. La base de données contenait plus de 8 millions de dossiers de patients pouvant contenir des informations personnelles (y compris des SSN) et des informations sur les ordonnances.

23. Hôpitaux et cliniques de l'Université de l'Utah (2008)

Taille de brèche : 2,2 M

Les hôpitaux et cliniques de l'Université de l'Utah ont subi une violation des données stockées sur des bandes physiques lors de leur vol en juin 2008. Les bandes contenaient des informations de facturation, des dossiers médicaux et les SSN de 2,2 millions de patients. Ils ont été restitués quelques jours plus tard et deux personnes ont été inculpées du crime. Cependant, l'université a quand même fini par dépenser plus de 3 millions de dollars à la suite de la violation.

Voir également:

Crédit image : « Technologie » de Gerd Altmann sous licence CC BY 2.0

^