Le département des Services de santé du comté de Los Angeles a divulgué une violation de données après que des milliers d’informations personnelles et de santé de patients ont été exposées lors d’une violation de données résultant d’une récente attaque de phishing affectant plus de deux douzaines d’employés.

Ce système de santé intégré gère les hôpitaux et cliniques publics du comté de Los Angeles (le comté le plus peuplé des États-Unis) et est le deuxième plus grand système de santé public du pays après les hôpitaux NYC Health+.

Comme l’ont révélé les notifications de violation de données envoyées aux personnes potentiellement concernées, les boîtes aux lettres de 23 employés ont été compromises après le vol de leurs informations d’identification lors d’une attaque en février.

En conséquence, les attaquants ont eu accès aux données personnelles et de santé des patients stockées dans les boîtes de réception des employés.

« Le DHS a mené un examen administratif et a déterminé qu’environ 6 085 informations sur les personnes pourraient avoir été touchées », ont déclaré les services de santé du comté de Los Angeles à Breachtrace dans un communiqué.

« Entre le 19 février 2024 et le 20 février 2024, le DHS a subi une attaque de phishing. Plus précisément, un pirate informatique a pu obtenir les identifiants de connexion de 23 employés du DHS par le biais d’un e-mail de phishing », ont également révélé les notifications.

« Dans ce cas, les employés du DHS ont cliqué sur le lien situé dans le corps de l’e-mail, pensant qu’ils accédaient à un message légitime d’un expéditeur digne de confiance. »

Les documents et les courriels contenus dans les boîtes aux lettres compromises comprenaient une combinaison d’informations personnelles et de santé des patients, notamment:

  • prénom et nom, date de naissance, adresse du domicile, numéro(s) de téléphone, adresse électronique, numéro de dossier médical, numéro d’identification du client, dates de service
  • renseignements médicaux (p. ex. diagnostic/affection, traitement, résultats des tests, médicaments),
  • et / ou des informations sur le plan de santé.

Les personnes touchées peuvent avoir été touchées différemment, et les données stockées dans les boîtes de réception de courrier électronique violées n’incluaient pas les numéros de sécurité sociale (SSN) ou les informations financières.

Après avoir découvert la violation, les Services de santé du comté de Los Angeles ont désactivé les comptes de messagerie concernés, réinitialisé et réimagé les appareils des employés compromis et mis en quarantaine tous les e-mails entrants suspects. Il a également diffusé des notifications de sensibilisation à tous les employés, leur rappelant de toujours être vigilants lors de l’examen des courriels, en particulier ceux contenant des pièces jointes ou des liens.

Le système de santé informera également le Bureau des Droits civils du Département de la Santé et des Services sociaux des États-Unis, le Département de la Santé Publique de Californie et d’autres agences concernées de la violation de données.

De plus, même si aucune preuve n’a été trouvée au cours de l’enquête que les attaquants ont accédé ou abusé des informations personnelles et de santé exposées, les Services de santé du comté de Los Angeles conseillent aux patients concernés de contacter leurs prestataires de soins de santé pour vérifier le contenu et l’exactitude de leurs dossiers médicaux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *