Ascension, l’un des plus grands systèmes de santé privés des États-Unis, a révélé qu’une violation de données divulguée le mois dernier affecte les informations personnelles et de santé de plus de 430 000 patients.
Le réseau de la santé compte plus de 142 000 employés, exploite 142 hôpitaux à l’échelle nationale et a déclaré un chiffre d’affaires de 28,3 milliards de dollars en 2023.
Comme Ascension l’a révélé dans des lettres de notification de violation envoyées aux personnes concernées en avril, leurs informations ont été volées lors d’une attaque de vol de données qui a touché un ancien partenaire commercial en décembre.
Selon le patient touché, les attaquants pouvaient accéder aux informations personnelles sur la santé liées aux visites des patients hospitalisés, y compris le nom du médecin, les dates d’admission et de sortie, les codes de diagnostic et de facturation, le numéro de dossier médical et le nom de la compagnie d’assurance. Ils pourraient également avoir accès à des informations personnelles, notamment le nom, l’adresse, le(s) numéro (s) de téléphone, l’adresse e-mail, la date de naissance, la race, le sexe et les numéros de sécurité sociale (SSN).
« Le 5 décembre 2024, nous avons appris que les informations des patients d’Ascension pouvaient avoir été impliquées dans un incident de sécurité potentiel. Nous avons immédiatement ouvert une enquête pour déterminer si et comment un incident de sécurité s’est produit », a déclaré Ascension.
« Notre enquête a déterminé le 21 janvier 2025 qu’Ascension a divulgué par inadvertance des informations à un ancien partenaire commercial, et certaines de ces informations leur ont probablement été volées en raison d’une vulnérabilité dans un logiciel tiers utilisé par l’ancien partenaire commercial. »
Bien qu’Ascension n’ait pas révélé le nombre total de personnes touchées à l’époque, un dépôt du 29 avril indiquait que l’incident avait touché 114 692 personnes au Texas, et la société a également déclaré au Bureau du procureur général du Massachusetts que 96 résidents avaient leurs dossiers médicaux et SSN exposés dans l’incident.
Cependant, le géant de la santé a également révélé dans un dépôt du 28 avril auprès du Département américain de la Santé et des Services sociaux (HHS) qui n’a pas été publié jusqu’à aujourd’hui que la violation de données a touché 437 329 personnes.
Ascension offre deux ans de services gratuits de surveillance de l’identité aux personnes touchées par cet incident, y compris la surveillance du crédit, la consultation en cas de fraude et la restauration du vol d’identité.
Bien qu’Ascension n’ait partagé aucun détail concernant la violation affectant son ancien partenaire commercial, la chronologie de la violation implique que l’attaque faisait partie d’attaques généralisées de vol de données par ransomware Clop qui exploitaient une faille zero-day dans le logiciel de transfert de fichiers sécurisé Cleo.
L’année dernière, Ascension a également informé près de 5,6 millions de patients et d’employés que leurs informations personnelles, financières, d’assurance et de santé avaient été volées lors d’une attaque de ransomware Black Basta en mai 2024.
Après l’incident, l’organisation de soins de santé a révélé que la violation de ransomware résultait du téléchargement par un employé d’un fichier malveillant sur un appareil de l’entreprise.
À la suite de l’attaque de mai 2024, les employés ont été obligés de suivre les procédures et les médicaments sur papier, car les dossiers électroniques des patients n’étaient pas accessibles. Ascension a également dû suspendre certaines procédures électives, tests et rendez-vous non urgents et rediriger les services médicaux d’urgence vers des unités de soins de santé non affectées pour éviter les retards de triage.