Ascension, l’un des plus grands systèmes de santé privés des États-Unis, informe les patients que leurs informations personnelles et de santé ont été volées lors d’une attaque de vol de données en décembre 2024, qui a touché un ancien partenaire commercial.
Le réseau de santé exploite 142 hôpitaux à l’échelle nationale, compte plus de 142 000 employés et a déclaré un chiffre d’affaires total de 28,3 milliards de dollars en 2023.
« Le 5 décembre 2024, nous avons appris que les informations des patients d’Ascension pouvaient avoir été impliquées dans un incident de sécurité potentiel. Nous avons immédiatement ouvert une enquête pour déterminer si et comment un incident de sécurité s’est produit », explique Ascension dans les notifications de violation de données envoyées aux personnes concernées.
« Notre enquête a déterminé le 21 janvier 2025 qu’Ascension a divulgué par inadvertance des informations à un ancien partenaire commercial, et certaines de ces informations leur ont probablement été volées en raison d’une vulnérabilité dans un logiciel tiers utilisé par l’ancien partenaire commercial. »
Selon le patient touché, les attaquants ont eu accès à une combinaison d’informations personnelles, notamment le nom, l’adresse, le(s) numéro (s) de téléphone, l’adresse e-mail, la date de naissance, la race, le sexe et les numéros de sécurité sociale (SSN).
Ils pouvaient également accéder aux renseignements personnels sur la santé liés aux visites des patients hospitalisés, y compris le nom du médecin, les dates d’admission et de sortie, les codes de diagnostic et de facturation, le numéro de dossier médical et le nom de la compagnie d’assurance.
Même si les notifications de violation n’incluaient aucune information concernant le nombre total de patients dont les données avaient été exposées dans cette violation, le système de santé a déclaré dans un dépôt du 28 avril auprès du Bureau du procureur général du Massachusetts que 96 résidents de l’AM avaient été touchés et avaient leurs dossiers médicaux et SSN exposés dans l’incident.
Ascension offre maintenant deux ans de services gratuits de surveillance de l’identité, y compris la surveillance du crédit, la consultation sur la fraude et la restauration du vol d’identité aux personnes touchées par cette violation de données.
Bien que la société n’ait partagé aucun détail supplémentaire concernant la violation affectant son ancien partenaire commercial, la chronologie de la violation implique que l’attaque faisait partie d’une série d’attaques de vol de données Clop ransomware qui exploitaient une faille zero-day dans le logiciel de transfert de fichiers sécurisé Cleo.
Un porte-parole d’Ascension n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.
L’année dernière, Ascension a informé près de 5,6 millions de patients et d’employés que leurs données personnelles et de santé avaient été volées lors d’une attaque de ransomware Black Basta en mai 2024. Après l’incident, Ascension a révélé que la violation du ransomware résultait d’un employé qui avait téléchargé un fichier malveillant sur un appareil de l’entreprise.