Norton Healthcare, système de santé à but non lucratif basé au Kentucky, a confirmé que des pirates informatiques avaient accédé aux données personnelles de millions de patients et d’employés lors d’une précédente attaque de ransomware.
Norton exploite plus de 40 cliniques et hôpitaux dans et autour de Louisville, Kentucky, et est le troisième employeur privé de la ville. L’organisation compte plus de 20 000 employés et plus de 3 000 prestataires au total parmi son personnel médical, selon son site Internet.
Dans un dossier déposé vendredi auprès du procureur général du Maine, Norton a déclaré que les données sensibles d’environ 2,5 millions de patients, ainsi que d’employés et de personnes à leur charge, avaient été consultées lors de son attaque de ransomware en mai.
Dans une lettre envoyée aux personnes concernées, l’organisation à but non lucratif a déclaré que les pirates avaient eu accès à « certains périphériques de stockage en réseau entre le 7 et le 9 mai », mais n’avaient pas accès au système de dossiers médicaux de Norton Healthcare ni à Norton MyChart, son système de dossiers médicaux électroniques.
Mais Norton a admis qu’à la suite d’une enquête interne « fastidieuse », que l’organisation a achevée en novembre, Norton a découvert que les pirates avaient accédé à un « large éventail d’informations sensibles », notamment des noms, des dates de naissance, des numéros de sécurité sociale, des informations sur la santé et l’assurance. et les numéros d’identification médicale.
Norton Healthcare affirme que, pour certaines personnes, les données exposées peuvent également inclure des numéros de compte financier, des permis de conduire ou d’autres numéros d’identification gouvernementaux, ainsi que des signatures numériques.
On ne sait pas si les données consultées ont été cryptées.
Norton affirme avoir informé les forces de l’ordre de l’attaque et confirmé qu’elle n’a payé aucune rançon. L’organisation n’a pas nommé les pirates informatiques responsables de la cyberattaque, mais l’incident a été revendiqué par le célèbre gang de ransomwares ALPHV/BlackCat en mai, selon le site d’informations sur les violations de données DataBreaches.net, qui a rapporté que le groupe affirmait avoir exfiltré près de cinq téraoctets de données. données. TechCrunch n’a pas pu le confirmer, car le site Web d’ALPHV était inaccessible au moment de la rédaction.
Norton Healthcare n’est que l’une des nombreuses organisations de soins de santé basées aux États-Unis à avoir été victime d’une violation de données affectant des millions de personnes cette année.
Le ministère américain de la Santé et des Services sociaux (HHS) a récemment déclaré que les « violations importantes » signalées à son Bureau des droits civils avaient plus que doublé au cours des quatre dernières années, et que les « violations importantes » avaient été presque multipliées par trois. attaques de rançongiciels. Le ministère fédéral ajoute que les violations signalées cette année ont touché plus de 88 millions de personnes, soit une augmentation de 60 % par rapport à 2022.
Selon le portail de violation de données HHS, le fournisseur de soins de santé américain HCA Healthcare a connu la plus grande violation de données de santé en 2023 après que des pirates ont publié les données sensibles d’environ 11 millions de patients sur un forum de cybercriminalité bien connu.
Perry Johnson & Associates, ou PJ&A, un service de transcription médicale basé au Nevada, a connu la deuxième plus grande violation de données de santé après qu’une cyberattaque ait exposé les données sensibles de près de neuf millions de patients. Cela a été suivi par une violation chez le géant dentaire américain Managed Care of North America (MCNA), qui a touché 8,9 millions de clients de l’organisation.