Postmeds, faisant affaire sous le nom de « Truepill », envoie des notifications de violation de données informant les destinataires que les acteurs malveillants ont accédé à leurs informations personnelles sensibles.
Truepill est une plateforme pharmaceutique axée sur le B2B qui utilise des API pour les services d’exécution et de livraison des commandes pour les marques de vente directe au consommateur (D2C), les entreprises de santé numérique et d’autres organismes de santé dans les 50 États des États-Unis.
En ce qui concerne le nombre de personnes touchées, selon le portail des violations des droits civiques du Département américain de la santé et des services sociaux, l’incident a touché 2 364 359 personnes.
La lettre informe que l’entreprise a découvert un accès non autorisé au réseau le 31 août 2023. L’enquête sur l’incident a révélé que les attaquants avaient obtenu l’accès la veille.
Les types de données auxquels les acteurs de la menace peuvent avoir accédé comprennent :
- Nom et prénom
- Type de médicament
- Informations démographiques
- Nom du médecin prescripteur
Les informations ci-dessus augmentent les risques d’attaques de phishing et d’ingénierie sociale. L’avis précise que les numéros de sécurité sociale (SSN) ne figuraient pas dans l’ensemble de données exposé.
Certaines des personnes ayant reçu les notifications de violation de données étaient quelque peu perplexes, affirmant qu’elles n’avaient jamais entendu parler de l’entreprise et ne savaient pas comment leurs données étaient parvenues à Truepill.
Postmeds sous le feu des critiques juridiques
L’impact considérable de l’incident pourrait entraîner des conséquences juridiques, car plusieurs recours collectifs sont en préparation à travers le pays, arguant que la violation aurait été évitée si Postmeds avait maintenu une meilleure position de sécurité compatible avec les directives du secteur.
Plus précisément, Postmeds est accusé de ne pas crypter les informations de santé sensibles stockées sur ses serveurs, ce qui réduirait considérablement l’impact d’une violation de données.
Le retard dans la notification aux consommateurs peut également faire partie des éventuelles poursuites judiciaires, car l’entreprise a mis plus de deux mois à informer les personnes concernées.
Pendant ce temps, certaines des personnes concernées ont observé une activité suspecte sur leurs comptes Venmo et ont confirmé plus tard que leurs données personnelles avaient été publiées sur le dark web.
Le contenu des avis est également critiqué pour être trop vague, ne fournissant pas de détails sur la manière dont les intrus ont accédé aux systèmes de l’entreprise et manquant de conseils de protection pour les destinataires et de couverture du service de protection contre le vol d’identité.
L’un des cabinets d’avocats menant une action en justice contre Postmed rapporte que les données divulguées comprennent également des adresses, des dates de naissance, des informations sur le traitement médical, des informations sur les diagnostics et des informations sur l’assurance maladie, qui ne sont pas mentionnées dans l’avis du cabinet.