Incidents associés
Serviceaide, Inc., une société partenaire basée à San Jose, en Californie, qui propose des agents basés sur l'IA pour la gestion informatique et des flux de travail, a annoncé une violation de données majeure affectant près d'un demi-million de patients du système de santé Catholic Health, composé de six hôpitaux, à Buffalo, dans l'État de New York.
Serviceaide fournit des services de gestion du support informatique à Catholic Health, qui nécessite l'accès aux données de santé électroniques protégées des patients. Le 15 novembre 2024, Serviceaide a découvert que certaines informations de sa base de données Elasticsearch de Catholic Health avaient été exposées en ligne et étaient accessibles sans authentification.
Serviceaide a lancé une enquête, qui a révélé que la base de données avait été exposée en ligne pendant environ six semaines, entre le 19 septembre et le 5 novembre 2024. L'enquête n'a révélé aucun élément suggérant que des informations de la base de données aient été copiées par des personnes non autorisées pendant leur exposition, mais il n'a pas été possible d'exclure la possibilité que des données sensibles aient été copiées.
La base de données a été examinée et il a été constaté qu'elle contenait les informations personnelles et protégées de santé de 483 126 patients de Catholic Health, notamment leurs noms, dates de naissance, numéros de sécurité sociale, numéros de dossier médical, numéros de compte patient, informations médicales/de santé, informations sur l'assurance maladie, informations sur les traitements, ordonnances, informations cliniques, noms et adresses des prestataires de soins, ainsi que leurs adresses e-mail, noms d'utilisateur et mots de passe. Les types de données concernées variaient d'un individu à l'autre et, au moment de l'envoi des courriers de notification, Serviceaide n'avait connaissance d'aucune utilisation abusive des données exposées.
Serviceaide a récemment envoyé des courriers de notification aux personnes concernées et a informé le Bureau des droits civils du HHS de la violation de données le 9 mai 2025. Serviceaide met en œuvre des mesures de sécurité supplémentaires pour prévenir de telles violations à l'avenir, et des services gratuits de surveillance du crédit et de protection contre le vol d'identité ont été mis à la disposition des victimes de la violation de données.
Les entités réglementées par la loi HIPAA doivent s'assurer de disposer de politiques et de procédures de vérification des contrôles d'authentification sur le stockage cloud, car les bases de données exposées sont une cause fréquente de violations de données. La semaine dernière, le Bureau des droits civils du HHS a annoncé un accord avec un fournisseur de services d'IRM californien après que des données ont été exposées en ligne, et le centre d'échange de données sur les soins de santé de Porto Rico Inmediata a également été récemment condamné à une amende pour avoir exposé des données de santé sensibles en ligne.