La violation de données chez SuperCare Health a touché 300 000 patients
Un fournisseur de services de santé basé en Californie appelé SuperCare Health a récemment signalé une violation majeure des données qui a touché plus de 300 000 patients.
SuperCare a publié un avis informant de la violation de données sur son site Web. Le point culminant de cet incident est que la violation a eu lieu à la mi-2021 et n'a été annoncée que récemment.
L'infraction s'est produite il y a plus de six mois
La société a pris connaissance d'une activité non autorisée sur ses serveurs le 27 juillet 2021. Des experts en sécurité externes ont été embauchés pour réparer la base de données qui fuit et enquêter. L'équipe embauchée a découvert que l'acteur menaçant qui avait obtenu un accès non autorisé aux données stockées sur les serveurs avait accès à "certains systèmes" sur le réseau de SuperCare entre le 23 et le 27 juillet - plus que suffisamment de temps pour exfiltrer tout le nécessaire.
C'est là que les choses deviennent très étranges. SuperCare déclare que le "fichier potentiellement impacté" ne contenait des données sensibles sur les patients qu'au début de février 2022. Ce qui a pris plus de six mois à l'aide externe embauchée et au personnel informatique de l'entreprise pour comprendre cela n'est pas trop clair dans l'annonce.
Ce qui est très clair, cependant, c'est que les informations auxquelles la société pense avoir été consultées contenaient une pléthore d'informations sensibles et personnellement identifiables sur les patients. L'ensemble de données comprend les noms, adresses, dates de naissance, numéros de dossier médical, informations sur l'assurance maladie, informations de diagnostic et "autres informations relatives à la santé" des patients.
Un petit pourcentage malchanceux d'individus touchés par la fuite de données "peut" également avoir vu leur numéro de sécurité sociale et leur numéro de permis de conduire exposés lors de la violation.
Personnes concernées informées fin mars 2022
Pour rendre les choses encore plus confuses, SuperCare a mis encore un mois entre la découverte de la fuite de données et la date à laquelle elle a informé les parties concernées. Les personnes concernées par la violation de données en ont été informées il y a à peine quelques semaines, le 25 mars 2022.
SuperCare a déclaré qu'ils n'étaient au courant d'aucune mauvaise utilisation ou manipulation malveillante des informations concernées, mais cela signifie plus ou moins qu'ils n'ont pas été contactés par le tiers qui a accédé aux informations et n'ont pas été menacés de fuite. Cela n'exclut toujours pas la possibilité que l'ensemble de données ait été discrètement vendu sur un marché clandestin.
Rapportant sur l'accident de fuite de données, SecurityWeek l'a placé parmi les 50 plus grandes fuites médicales en volume d'individus touchés au cours des deux dernières années.