Incidents associés
Une violation de données chez Serviceaide, Inc., fournisseur de technologies pour Catholic Health, a exposé des informations sensibles concernant environ 480 000 patients.
L'incident, causé par une base de données Elasticsearch mal sécurisée, a laissé les noms, numéros de sécurité sociale, dossiers médicaux et identifiants de connexion accessibles au public pendant près de sept semaines.
Bien que les analystes judiciaires n'aient trouvé aucune preuve directe d'utilisation abusive des données, l'ampleur de l'exposition soulève de sérieuses inquiétudes quant aux vulnérabilités systémiques des systèmes informatiques de santé tiers.
La violation provenait d'une base de données Elasticsearch mal configurée de Catholic Health, gérée par Serviceaide, qui est devenue publique par inadvertance le 19 septembre 2024.
Les personnes non autorisées pouvaient théoriquement accéder aux dossiers des patients jusqu'au 5 novembre, date à laquelle Serviceaide a découvert la vulnérabilité lors d'un audit de routine et d'un accès restreint.
La détection tardive (47 jours) a laissé aux attaquants potentiels amplement le temps d'exploiter les données, bien que l'enquête de Serviceaide n'ait trouvé aucune preuve concluante d'exfiltration de données.
Serviceaide a fait appel à un cabinet d'expertise judiciaire tiers pour analyser les journaux d'activité de la base de données, mais l'absence d'outils de surveillance complets a limité sa capacité à suivre les tentatives d'accès.
Catholic Health n'a pas précisé si la base de données nécessitait une authentification avant l'incident ni si des protocoles de chiffrement étaient actifs.
En réponse, Serviceaide affirme avoir mis en œuvre des « mesures de sécurité supplémentaires », bien que les détails restent flous. Le ministère américain de la Santé et des Services sociaux (HHS) examine actuellement la violation conformément aux directives de conformité de la loi HIPAA concernant les fournisseurs tiers.
Étendue des informations patient compromises
Les données exposées représentent une mosaïque d'identifiants hautement sensibles : 92 % des personnes concernées ont vu leur numéro de sécurité sociale exposé, tandis que 100 % ont perdu leurs numéros de dossier médical, leurs historiques de traitement et les coordonnées de leurs prestataires de soins.
Un sous-ensemble de 31 000 patients ont également vu leurs identifiants de messagerie compromis, notamment leurs mots de passe hachés, ce qui représente un risque critique compte tenu de la réutilisation fréquente des mots de passe sur différentes plateformes.
La base de données contenait notamment des notes de traitement psychiatrique et des dossiers d'ordonnances, protégés par des réglementations plus strictes, comme le 42 CFR Partie 2.
Les experts juridiques suggèrent que cela pourrait entraîner des sanctions distinctes, allant au-delà des violations HIPAA standard.
Le format structuré des données dans Elasticsearch, un outil conçu pour les recherches rapides, permet aux attaquants d'interroger et d'exporter efficacement les dossiers en cas de violation du système.
Catholic Health a été critiquée pour ne pas avoir audité proactivement les pratiques de sécurité de Serviceaide, malgré un avertissement du HHS de 2023 concernant l'augmentation des vulnérabilités des tiers dans le secteur de la santé.
Serviceaide, qui fournit une infrastructure informatique à 17 réseaux hospitaliers à travers le pays, n'a pas précisé si d'autres clients avaient été impactés.
Mesures d'atténuation et protection des consommateurs
Serviceaide propose 24 mois de surveillance du crédit via Experian IdentityWorks, mais les critiques affirment que cette solution ne couvre pas les risques d'usurpation d'identité médicale. Il est conseillé aux patients de :
- Consulter les relevés d'explication des prestations (EOB) pour les services non reconnus, qui précèdent souvent une fraude à l'assurance.
- Envoyer des alertes de fraude renforcées aux agences d'évaluation du crédit en précisant les risques d'usurpation d'identité médicale.
- Demander des audits manuels de leurs dossiers médicaux par l'intermédiaire du bureau de confidentialité de Catholic Health afin de détecter toute falsification.
Cette faille met en évidence les lacunes systémiques des fournisseurs de soins de santé.
Les solutions proposées incluent la surveillance obligatoire en temps réel de toutes les bases de données tierces et la révision des règles HIPAA obligeant les hôpitaux à valider les configurations de sécurité des fournisseurs deux fois par an.
En attendant que ces réformes se concrétisent, les patients restent vulnérables aux dommages collatéraux causés par des systèmes partenaires non sécurisés.
Le service dédié de Serviceaide fonctionne en semaine, bien que les utilisateurs signalent des temps d'attente prolongés.
Avec une augmentation de 72 % des failles de sécurité dans le secteur de la santé par rapport à l'année précédente, cet incident renforce l'urgence de normes de cybersécurité applicables à l'ensemble de la chaîne d'approvisionnement médicale.