Kaiser Permanente, le plus grand fournisseur de régimes de santé à but non lucratif aux États-Unis, a révélé une violation de données qui a exposé les informations de santé sensibles de près de 70 000 patients.
Dans un avis aux patients du 3 juin, Kaiser a révélé que quelqu’un avait eu accès aux e-mails d’un employé du Kaiser Foundation Health Plan de Washington le 5 avril qui contenaient des informations de santé protégées – y compris les noms des patients, les dates de service, les numéros de dossier médical et les tests de laboratoire. informations sur les résultats. Les informations financièrement sensibles, y compris les numéros de sécurité sociale et de carte de crédit, n’ont pas été exposées par la violation, selon le fournisseur de soins de santé.
Bien que l’entreprise n’ait pas révélé l’ampleur de la violation, un dossier séparé auprès du département américain de la Santé et des Services sociaux a confirmé que 69 589 personnes avaient été touchées.
« Nous avons mis fin à l’accès non autorisé quelques heures après son début et avons rapidement ouvert une enquête pour déterminer l’étendue de l’incident », a déclaré Kaiser dans son avis aux patients. « Nous avons déterminé que des informations de santé protégées étaient contenues dans les e-mails et, bien que nous n’ayons aucune indication que les informations aient été consultées par la partie non autorisée, nous ne sommes pas en mesure d’exclure complètement cette possibilité. »
TechCrunch a demandé à Kaiser comment un tiers non autorisé avait pu accéder aux e-mails des employés, mais l’entreprise n’a pas voulu commenter avant l’heure de presse. Cependant, il a déclaré dans son avis que l’employé piraté « a reçu une formation supplémentaire sur les pratiques de sécurité des e-mails », suggérant que la violation pourrait avoir été le résultat d’un bourrage d’informations d’identification ou d’un hameçonnage. Kaiser a ajouté qu’il « explore d’autres mesures que nous pouvons prendre pour garantir que de tels incidents ne se reproduisent pas à l’avenir », mais la société n’a pas voulu dire quelles étaient ces mesures.
On ne sait pas non plus pourquoi il a fallu près de deux mois à Kaiser pour informer les patients touchés par la violation.
Kaiser Permanente est le dernier d’une longue lignée de fournisseurs de soins de santé ciblés par les pirates. Le géant de l’assurance maladie Anthem a révélé le vol de 78,8 millions de dossiers en 2015. Plus récemment, myNurse, une startup de la santé qui fournit des services de gestion des soins chroniques et de suivi des patients à distance, a subi une violation de données en mars qui a vu un tiers malveillant accéder à des données de santé protégées, y compris les informations démographiques, sanitaires et financières des patients. Le 2 mai, la startup a annoncé sa fermeture.