Une fuite de données de Serviceaide révèle les dossiers de 500 000 patients de Catholic Health

Une base de données mal configurée chez le fournisseur informatique d'entreprise Serviceaide a exposé des informations médicales et personnelles sensibles appartenant à environ 500 000 ( 483 126 ) patients liés à Catholic Health, un système de santé à but non lucratif basé à New York.

Serviceaide a confirmé la fuite de données dans un avis publié sur son site web, précisant que l'incident provenait d'une base de données Elasticsearch rendue publique par inadvertance. L'exposition s'est produite entre le 19 septembre et le 5 novembre 2024. La fuite a été découverte le 15 novembre 2024 et un examen complet n'a été réalisé que récemment.

Bien qu'il n'y ait aucune preuve confirmée que les données aient été téléchargées ou utilisées à mauvais escient, la société a admis qu'elle ne pouvait pas exclure cette possibilité.

La base de données exposée contenait un large éventail d'informations sensibles. Selon la personne, les données pouvaient inclure :

• Noms complets
• Dates de naissance
• Données de prescription
• numéros de sécurité sociale
• Détails de l'assurance maladie
• Informations sur les prestataires de soins de santé
• Traitement et informations cliniques
• Dossier médical et numéros de compte
• Adresses e-mail, noms d'utilisateur et mots de passe

Serviceaide envoie des lettres de notification aux personnes concernées pour lesquelles il dispose d'adresses postales valides.

Darren Guccione , PDG de Keeper Security, a commenté les implications plus larges de la fuite.

« Le volume considérable de données médicales et personnelles exposées lors de cet incident met en évidence un problème plus vaste dans le secteur. Il faut souvent des années pour évaluer pleinement de telles violations, notamment en raison de l'évolution de la réglementation et de la difficulté de retracer l'utilisation ultérieure des données », a déclaré M. Guccione.

Il a souligné que même s’il n’y a pas de signes de fraude immédiatement, le type d’informations exposées peut être réutilisé longtemps après la violation, ce qui rend essentiel pour les victimes de prendre des mesures de protection dès maintenant.

Serviceaide recommande aux personnes concernées de surveiller leurs rapports de crédit, de modifier les mots de passe liés à leurs comptes médicaux et d'envisager de geler leur crédit. Des rapports de crédit gratuits sont accessibles sur AnnualCreditReport.com ou en composant le 1-877-322-8228.

Plus de détails peuvent être trouvés sur le site Web de chaque entreprise .

Serviceaide a pris des mesures pour sécuriser la base de données exposée et affirme avoir mis en place de nouveaux protocoles de sécurité afin de réduire le risque d'incidents futurs. L'entreprise collabore également avec les autorités de régulation fédérales, notamment le ministère de la Santé et des Services sociaux, qui a rendu publique la violation sur son portail des violations du Bureau des droits civiques.

Cet incident illustre le défi constant auquel sont confrontés les services informatiques du secteur de la santé : assurer une sécurité rigoureuse des systèmes tiers tout en gérant d'importants volumes de données sensibles. Bien que les prestataires et fournisseurs de soins de santé s'efforcent de sécuriser leur infrastructure en ligne, une seule erreur de configuration peut exposer les patients à des risques à long terme.