Une violation chez Oracle Health a des répercussions sur plusieurs organisations de santé et hôpitaux américains après qu’un acteur malveillant a volé des données de patients sur des serveurs hérités.
Oracle Health n’a pas encore divulgué publiquement l’incident, mais dans des communications privées envoyées aux clients touchés et à partir de conversations avec les personnes impliquées, Breachtrace a confirmé que les données des patients avaient été volées lors de l’attaque.
Oracle Health, anciennement connu sous le nom de Cerner, est une société de logiciels de santé en tant que service (SaaS) proposant des Dossiers de santé électroniques (DSE) et des systèmes d’exploitation commerciale aux hôpitaux et aux organisations de soins de santé. Après avoir été acquis par Oracle en 2022, Cerner a fusionné avec Oracle Health, ses systèmes ayant migré vers Oracle Cloud.
Dans un avis envoyé aux clients concernés et consulté par Breachtrace, Oracle Health a déclaré avoir pris connaissance d’une violation des serveurs de migration de données existants Cerner le 20 février 2025.
« Nous vous écrivons pour vous informer que, le ou vers le 20 février 2025, nous avons eu connaissance d’un événement de cybersécurité impliquant un accès non autorisé à une certaine quantité de vos données Cerner qui se trouvait sur un ancien serveur hérité non encore migré vers Oracle Cloud », lit-on dans une notification envoyée aux clients Oracle Health concernés.
Oracle affirme que l’auteur de la menace a utilisé des informations d’identification client compromises pour violer les serveurs quelque temps après le 22 janvier 2025 et a copié des données sur un serveur distant. Ces données volées « peuvent » avoir inclus des informations sur les patients provenant de dossiers de santé électroniques.
Cependant, plusieurs sources ont déclaré à Breachtrace qu’il avait été confirmé que les données des patients avaient été volées lors de l’attaque.
Oracle Health indique également aux hôpitaux qu’ils n’informeront pas directement les patients et qu’il leur incombe de déterminer si les données volées enfreignent les lois HIPPA et s’ils sont tenus d’envoyer des notifications.
Cependant, la société affirme qu’elle aidera à identifier les personnes touchées et fournira des modèles pour faciliter les notifications.
On ne sait pas si un ransomware a été déployé dans l’attaque ou s’il s’agissait purement d’un vol de données, Breachtrace a déclaré que les détails de l’attaque n’avaient pas été partagés avec les clients.
De plus, on ne sait pas comment les informations d’identification d’un client auraient pu permettre le vol de données auprès de plusieurs organisations.
Breachtrace a contacté Oracle Health pour la première fois à propos de cet incident le 4 mars, mais n’a reçu aucune réponse à nos questions.
Clients préoccupés par la réponse
Alors que la violation et le vol des données des patients sont devenus un cauchemar pour les organisations touchées, Breachtrace a appris que le manque de transparence d’Oracle était également extrêmement frustrant.
Lors de conversations avec de nombreuses sources, Breachtrace a appris que toutes les communications formelles avaient été envoyées sur du papier ordinaire plutôt que sur du papier à en-tête Oracle, et que l’entreprise n’avait pas non plus reconnu la violation comme prévu.
La notification vue par Breachtrace n’était pas sur du papier à en-tête officiel mais a été signée par Seema Verma, vice-présidente exécutive et directrice générale d’Oracle Health.
De plus, plutôt que de fournir des rapports écrits, Oracle Health aurait demandé aux clients de communiquer uniquement avec son Bureau principal de la sécurité de l’information (CISO) par téléphone et non par courrier électronique.
Cette approche a laissé les hôpitaux sans documentation appropriée ni directives claires sur la réponse à la faille de sécurité.
Alors qu’Oracle Health a accepté de payer pour les services de surveillance du crédit et le fournisseur de publipostage pour la notification des patients, Breachtrace a été informé que la société n’était pas disposée à l’envoyer au nom des hôpitaux touchés.
La divulgation de cet incident intervient peu de temps après des informations faisant état d’une violation présumée des serveurs de connexion SSO fédérés d’Oracle Cloud, dans laquelle un acteur menaçant a prétendu voler les données d’authentification LDAP de 6 millions de personnes. Comme preuve de l’attaque, l’auteur de la menace a partagé une copie archivée d’un fichier téléchargé sur l’un des serveurs de connexion d’Oracle contenant son adresse e-mail.
Alors qu’Oracle a nié avoir subi une violation, Breachtrace a été informé que des échantillons des données volées partagées avec les clients étaient confirmés comme valides.