Medusind, l’un des principaux fournisseurs de facturation pour les organisations de soins de santé, informe des centaines de milliers de personnes d’une violation de données qui a exposé leurs informations personnelles et de santé il y a plus d’un an, en décembre 2023.
La société basée à Miami exploite 12 sites aux États-Unis et en Inde, et fournit également des services de gestion du cycle des revenus à plus de 6 000 prestataires de soins de santé, les aidant à réduire leurs coûts d’exploitation et à maximiser leurs revenus.
Medisund indique dans une lettre de notification de violation de données déposée auprès du Bureau du procureur général du Maine qu’il a repéré la violation il y a plus d’un an, en décembre 2023, après avoir détecté une activité suspecte sur son réseau.
« Après avoir découvert l’activité suspecte, Medusind a mis les systèmes affectés hors ligne et a embauché une société médico-légale de premier plan en cybersécurité pour mener une enquête », selon l’avis de violation.
« Grâce à cette enquête, nous avons trouvé des preuves qu’un cybercriminel aurait pu obtenir une copie de certains fichiers contenant vos informations personnelles. »
Dans le dépôt du Maine, l’entreprise a révélé que la violation de décembre 2023 avait affecté les informations personnelles et de santé de 360 934 personnes.
Les documents exposés lors de l’incident contenaient les types de données suivants, bien que les informations affectées varient selon la personne affectée:
- informations sur l’assurance maladie et la facturation (telles que les numéros de police d’assurance ou les informations sur les réclamations/prestations),
- informations de paiement (telles que les numéros de carte de débit/crédit ou les informations de compte bancaire),
- informations sur la santé (telles que les antécédents médicaux, le numéro de dossier médical ou les informations sur les ordonnances),
- identification gouvernementale (comme le numéro de sécurité sociale, la carte d’identité du contribuable, le permis de conduire ou le numéro de passeport),
- et d’autres informations personnelles (telles que la date de naissance, l’e-mail, l’adresse ou le numéro de téléphone).
Medusind offre aux personnes touchées par cette violation de données deux ans de services gratuits de surveillance de l’identité Kroll, y compris la surveillance du crédit, la consultation sur la fraude et la restauration du vol d’identité.
Il les a également avertis de garder une trace de leurs relevés de compte pour détecter tout signe de vol d’identité potentiel et de tentatives de fraude et de surveiller les rapports de solvabilité pour détecter toute activité non autorisée ou suspecte.
Ces notifications interviennent après que le département américain de la Santé et des Services sociaux (HHS) a proposé des mises à jour de la Health Insurance Portability and Accountability Act de 1996 (HIPAA) fin décembre 2024 pour sécuriser les données de santé des patients à la suite d’une augmentation des violations massives de la sécurité des soins de santé et des fuites de données affectant les hôpitaux et les Américains ces dernières années.
Ces règles de cybersécurité révisées obligent les organisations de soins de santé à crypter les informations de santé protégées (PHI) des Américains, à mettre en œuvre une authentification multifacteur dans la mesure du possible et à segmenter les réseaux pour rendre plus difficile pour les cybercriminels de se déplacer latéralement à travers eux.
Ascension, l’un des plus grands systèmes de santé privés américains, a récemment alerté près de 5,6 millions de personnes que leurs données avaient été volées lors d’une cyberattaque en mai revendiquée par le gang de ransomwares Black Basta.
En octobre, UnitedHealth a confirmé la violation la plus importante des soins de santé de ces dernières années, résultant d’une attaque de ransomware Change Healthcare en février qui a touché plus de 100 millions de personnes.