Incidents associés
Le 9 mai, la société de services informatiques Serviceaide a notifié le ministère américain de la Santé et des Services sociaux (HHS) que les données sensibles de 483 126 patients de Catholic Health pourraient avoir été exposées suite à une violation de données.
Dans une lettre datée du 5 mai envoyée aux patients concernés, Serviceaide a indiqué avoir été informée de la violation de sa base de données Elasticsearch le 15 novembre 2024, après quoi elle a ouvert une enquête sur l'ampleur de l'incident.
Les enquêteurs ont constaté qu'entre le 19 septembre 2024 et le 5 novembre 2024, certaines informations sur les patients étaient accessibles au public.
Les données comprenaient les éléments suivants : noms, numéros de sécurité sociale, dates de naissance, numéros de dossier médical, numéros de compte patient, informations médicales/de santé, informations cliniques, nom et adresse du prestataire, ainsi que courriels, noms d’utilisateur et mots de passe.
Serviceaide a informé les patients que, bien que l’enquête n’ait identifié aucune preuve de copie d’informations, elle n’était pas en mesure d’exclure ce type d’activité.
Agnidipta Sarkar, vice-présidente et conseillère en sécurité informatique chez ColorTokens, a déclaré que la faille résultait d’une mauvaise configuration d’une référence d’objet direct non sécurisée (IDOR) qui a permis aux pirates d’accéder potentiellement sans autorisation à des données sensibles sans preuve de copie.
Sarkar a déclaré que cela pourrait affecter les personnes recevant des soins médicaux dans les 75 établissements de Catholic Health dans l’ouest de l’État de New York, augmentant les risques d’usurpation d’identité, de fraude financière et de fraude médicale, en raison de la possible perte de données personnelles et médicales hautement sensibles.
« Les équipes de cybersécurité peuvent tirer de nombreux enseignements, mais leur mise en œuvre est complexe », a déclaré Sarkar. « Il s'agit notamment de prévenir les risques de mauvaise configuration, les retards de détection, les risques liés aux fournisseurs tiers, l'exposition des données sensibles et les implications réglementaires. Au minimum, les équipes de sécurité du secteur de la santé doivent résoudre les vulnérabilités IDOR, auditer les configurations, améliorer la gouvernance des changements et mettre en œuvre un accès sans mot de passe avec le principe du moindre privilège. »
Nic Adams, cofondateur et PDG d'0rcus, a comparé ce cas à l'incident très médiatisé Change Healthcare de l'année dernière, dans la mesure où la forte dépendance d'un établissement médical à un fournisseur tiers accroît l'impact potentiel d'une violation.
« Ces deux incidents mettent en évidence un problème systémique au sein du secteur de la santé, qui fait que les fournisseurs tiers sont de plus en plus ciblés en raison de leur accès aux données et systèmes critiques », a déclaré Adams. « L'absence de mesures rigoureuses et de supervision opérationnelle dans ces relations avec les fournisseurs accentue le risque de telles violations. »
Le volume considérable de données personnelles et médicales sensibles exposées lors de la violation de Serviceaide souligne la nécessité impérieuse de mesures de cybersécurité robustes dans l'ensemble du secteur de la santé, a ajouté Darren Guccione, cofondateur et PDG de Keeper Security.
« Déterminer l'impact réel d'une violation de cette ampleur prend souvent des mois, voire des années, car les organisations doivent déterminer l'étendue de l'exposition des données, vérifier l'exactitude des rapports de violation et s'adapter à l'évolution des exigences réglementaires », a déclaré M. Guccione. « Les données de Catholic Health exposées demeurent une menace importante. La compromission des informations personnelles, médicales et financières entraîne un risque élevé d'usurpation d'identité, de fraude médicale et d'attaques d'hameçonnage ciblées. Bien qu'il n'y ait pas de signes immédiats d'utilisation abusive, les données volées pourraient refaire surface ultérieurement, prolongeant ainsi les risques pour les individus comme pour les organisations. »