La fuga di notizie di Serviceaide rivela i dati di 500.000 pazienti di Catholic Health

Un database mal configurato presso il fornitore IT aziendale Serviceaide ha esposto informazioni sanitarie e personali sensibili appartenenti a circa 500.000 ( 483.126 ) pazienti collegati a Catholic Health, un sistema sanitario senza scopo di lucro con sede a New York.

Serviceaide ha confermato la fuga di dati in un avviso pubblicato sul suo sito web, affermando che l'incidente ha avuto origine da un database Elasticsearch reso inavvertitamente accessibile al pubblico. L'esposizione si è verificata tra il 19 settembre e il 5 novembre 2024. La fuga di dati è stata scoperta il 15 novembre 2024 e un'analisi completa è stata completata solo di recente.

Sebbene non ci siano prove confermate che i dati siano stati scaricati o utilizzati in modo improprio, l'azienda ha ammesso di non poter escludere questa possibilità.

Il database esposto conteneva un'ampia gamma di dati sensibili. A seconda dell'individuo, i dati potevano includere:

• nomi completi
• Date di nascita
• Dati di prescrizione
• Numeri di previdenza sociale
• Dettagli dell'assicurazione sanitaria
• Informazioni sul fornitore di assistenza sanitaria
• Trattamento e informazioni cliniche
• Cartella clinica e numeri di conto
• Indirizzi email, nomi utente e password

Serviceaide sta inviando lettere di notifica alle persone interessate per le quali dispone di indirizzi postali validi.

Darren Guccione , CEO di Keeper Security, ha commentato le implicazioni più ampie della fuga di notizie.

"L'enorme volume di dati sanitari e personali esposti in questo incidente indica un problema più ampio che riguarda l'intero settore. Violazioni come questa richiedono spesso anni per una valutazione completa, soprattutto con le normative in continua evoluzione e la difficoltà di tracciare come i dati potrebbero essere utilizzati in futuro", ha affermato Guccione.

Ha fatto notare che, anche se potrebbero non esserci segnali di frode nell'immediato, il tipo di informazioni esposte può essere riutilizzato molto tempo dopo la violazione, rendendo essenziale per le vittime adottare misure di protezione immediate.

Serviceaide raccomanda alle persone interessate di monitorare i propri report di credito, modificare le password associate ai propri conti medici e valutare la possibilità di congelare il credito. È possibile accedere gratuitamente ai report di credito tramite AnnualCreditReport.com o chiamando il numero 1-877-322-8228.

Maggiori dettagli sono reperibili sui siti web delle singole aziende .

Serviceaide ha adottato misure per proteggere il database esposto e afferma di aver aggiunto nuovi protocolli di sicurezza per ridurre il rischio di futuri incidenti. Sta inoltre collaborando con le autorità di regolamentazione federali, tra cui il Dipartimento della Salute e dei Servizi Umani, che ha pubblicato la violazione sul portale dedicato alle violazioni dell'Ufficio per i Diritti Civili.

Questo incidente dimostra la continua sfida che l'IT sanitario deve affrontare, ovvero proteggere i sistemi di terze parti e gestire grandi volumi di dati sensibili. Sebbene gli operatori sanitari e i fornitori stiano lavorando per proteggere la propria infrastruttura online, un singolo errore di configurazione può esporre i pazienti a rischi a lungo termine.