Posté le octobre 22, 2022 à 5:00
ADVOCATE AURORA HEALTH (AAH) ANNONCE UNE VIOLATION DE DONNÉES AFFECTANT 3 MILLIONS DE PATIENTS
Advocate Aurora Health (AAH) est la plus récente institution de santé à avoir subi une violation de données après que les dossiers de 3 millions de patients aient été exposés.
Le système hospitalier de santé, basé dans l’Illinois et le Wisconsin, informe maintenant les patients concernés d’une violation de données sur son système et ses réseaux. Cette violation pourrait avoir exposé les données personnelles et financières des patients.
L’incident est dû à l’utilisation incorrecte de Meta Pixel sur les sites web d’AAH, qui contiennent des informations médicales et sensibles sur les patients.
En tant que traceur JavaScript, Meta Pixel permet aux opérateurs de sites web de savoir comment les visiteurs du site interagissent avec la plateforme. Cela les aide à apporter des améliorations ciblées.
En dehors de ce rôle principal, le traceur fournit également des données vitales à Meta, qui peuvent être partagées avec d’autres réseaux de spécialistes du marketing qui font de la publicité pour leurs produits en utilisant les données spécifiques des patients.
Davantage de patients pourraient être affectés
Les répercussions de cette violation pourraient aller au-delà de ce qui est prévu, car Meta Pixel est utilisé par plusieurs hôpitaux aux États-Unis. Son impact plus large pourrait être l’exposition de millions de personnes à des tiers. En outre, la nature de la violation pourrait déclencher des recours collectifs contre les organisations tenues responsables de l’incident.
Selon la notification du système de santé, les informations susceptibles d’avoir été exposées comprennent les informations relatives au prestataire de soins, la proximité d’un site d’AAH, le type de procédure ou de rendez-vous, l’adresse IP, ainsi que les lieux, dates et heures des rendez-vous programmés.
D’autres informations comprennent des informations sur le compte proxy, des informations sur l’assurance et des détails sur la communication entre les utilisateurs de MyChart.
AAH a noté que l’incident a également été répertorié sur le portail de signalement des violations du ministère Américain de la santé.
Toutefois, pour éviter tout autre problème, AAH a désactivé le traceur Pixel sur tous les systèmes. Le prestataire de soins de santé met également en place des mesures de protection qui empêcheront toute exposition supplémentaire sur le site Web. Dans des situations comme celle-ci, les hackers peuvent en profiter pour trouver des failles qu’ils peuvent exploiter. Mais AAH a assuré aux utilisateurs et aux patients qu’il a déjà installé des contrôles de sécurité solides pour repousser ces attaques.
Les patients ont été conseillés sur la sécurité
Il a été conseillé aux patients d’utiliser le mode « incognito » ou les fonctions de blocage des traceurs de leur navigateur web lorsqu’ils se connectent à des portails médicaux. En outre, les personnes possédant un compte Google ou Facebook doivent vérifier leurs paramètres de confidentialité.
Le prestataire de soins de santé a également mis en place une page FAQ pour permettre aux patients de trouver des réponses aux questions qu’ils peuvent se poser sur la violation et les mesures de sécurité.
La violation de la sécurité de AAH survient un an seulement après que le système de santé du sud-est de la Floride a révélé avoir été frappé par une attaque par déni de service distribué (DDoS). Le système de santé gère plus de 30 établissements de soins dans le comté de Broward.
L’attaque s’est produite le 15 octobre 2021, après qu’un acteur de la menace a obtenu un accès non autorisé au réseau de l’hôpital, et a accédé au passage aux données des patients. Selon le rapport publié sur le site Web du système de santé, l’attaque est venue d’un fournisseur médical tiers.
Le système de santé a révélé qu’il a découvert l’attaque quatre jours plus tard et a pris des mesures pour contenir l’incident. Il a également fait rapport au ministère de la Justice (DoJ) et au FBI pour une enquête plus approfondie sur la question.
De nouveaux centres de soins de santé victimes de violations
Cette récente attaque prouve que les prestataires de soins de santé sont de plus en plus pris pour cible.
La société Keystone Health, basée en Pennsylvanie, a récemment annoncé que les données de 235 237 patients avaient été consultées pendant près d’un mois lors d’un piratage non détecté, le 19 août 2022. La violation a été découverte lorsque les systèmes informatiques du fournisseur ont été temporairement perturbés. La situation a été signalée aux forces de l’ordre et une enquête sur l’incident a été lancée.
Les résultats de l’enquête ont montré que le hacker a accédé au réseau pour la première fois le 28 juillet. Pendant qu’ils étaient dans le système, les acteurs de la menace ont eu accès aux données des patients, telles que les données cliniques et les numéros de sécurité sociale.
Mais toutes les expositions de données dans le système de santé ne sont pas le résultat de cyberattaques. Au début du mois d’août, le prestataire de santé Américain Novant Health a annoncé que 1,3 million de patients avaient été exposés en raison d’une mauvaise utilisation de Meta Pixel dans sa mise en œuvre du portail « MyChart ».
Le portail de patients « MyChart » est également utilisé par « LiveWell » et AAH, qui avaient tous deux des traceurs Meta Pixel actifs.
AAH a noté que certaines informations de santé protégées (PHI) peuvent être exposées dans certaines circonstances lorsque les patients utilisent les portails de patients d’Advocate Aurora Health disponibles sur les plateformes LiveWell et MyChart. AAH ajoute que la situation affecte les utilisateurs qui sont connectés à leurs comptes Google ou Facebook.