Truepill, une startup de santé numérique qui fournit des services de distribution pharmaceutique aux organismes de santé, a confirmé que des pirates informatiques ont accédé aux données personnelles de plus de 2,3 millions de patients.
Dans un avis de violation de données publié sur son site Web, la société affirme que Postmeds, la société mère derrière TruePill, a connu un « incident de cybersécurité » qui a permis à des attaquants anonymes d’accéder aux fichiers utilisés pour la gestion et les services de distribution des pharmacies entre le 30 août et le 1er septembre.
Entrer en contact
Avez-vous plus d’informations sur la violation de données Truepill ? Vous pouvez contacter Carly Page en toute sécurité sur Signal au +441536 853968 ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
L’enquête de la société a révélé que les fichiers consultés contenaient des informations sensibles sur les clients, notamment les noms des patients, des informations démographiques non précisées, le type de médicament et le nom du médecin prescripteur du patient. Truepill a déclaré que les numéros de sécurité sociale n’étaient pas impliqués, car l’entreprise ne reçoit pas ces informations.
Truepill a confirmé que 2,3 millions de patients étaient concernés, selon un dossier légal requis soumis au portail de signalement des violations de données du ministère américain de la Santé et des Services sociaux. Le site Web de Truepill indique que la société a servi plus de trois millions de patients et délivré 20 millions d’ordonnances depuis sa création en 2016.
Truepill a déclaré qu’il améliorait ses protocoles de sécurité et déployait une formation supplémentaire en matière de cybersécurité pour ses employés. La société n’a pas précisé comment ses systèmes avaient été compromis ni quelles mesures spécifiques elle avait mises en œuvre pour prévenir de futures violations, et un porte-parole n’a pas répondu aux questions de TechCrunch.
La violation de données – dont la nouvelle a été partagée pour la première fois avec les personnes concernées le 30 octobre – fait déjà l’objet d’un recours collectif, qui allègue que l’incident de cybersécurité était le résultat direct de l’incapacité de Postmeds à mettre en œuvre des mesures adéquates de sécurité des données pour protéger les données. Informations client. Plus précisément, la plainte accuse l’entreprise de ne pas crypter les informations de santé sensibles stockées sur ses serveurs.
La semaine dernière, Truepill a réglé avec la Drug Enforcement Administration des États-Unis des allégations selon lesquelles une pharmacie aurait délivré illégalement des milliers d’ordonnances de substances contrôlées.
« Avec ce règlement, Truepill a accepté la responsabilité d’exploiter une pharmacie en ligne non enregistrée, d’exécuter des ordonnances de substances contrôlées de l’annexe II au-delà de la limite de 90 jours et d’exécuter des ordonnances rédigées par des prestataires médicaux qui n’avaient pas les licences requises, le tout en violation. du droit fédéral », a écrit la DEA dans un communiqué de presse le 6 novembre.