PJ&A (Perry Johnson & Associates) prévient qu’une cyberattaque en mars 2023 a exposé les informations personnelles de près de neuf millions de patients.
PJ&A fournit des services de transcription médicale aux organismes de santé aux États-Unis.
La société a déclaré que les acteurs malveillants ont violé leur réseau et y ont eu accès entre le 27 mars et le 2 mai 2023. Son enquête a révélé que les informations suivantes avaient été exposées aux acteurs malveillants :
- Nom et prénom
- Date de naissance
- Numéro de dossier médical
- Numéro de compte de l’hôpital
- Diagnostic d’admission
- Date et heure de la prestation
- Numéros de sécurité sociale (SSN)
- Information sur l’assurance
- Dossiers de transcription médicale (résultats de laboratoire et de tests de diagnostic)
- Détails des médicaments
- Noms des établissements de traitement et des prestataires de soins de santé
PJ&A a commencé à envoyer des notifications de violation de données le 31 octobre 2023, pour alerter les personnes concernées que leurs informations de santé sensibles avaient été compromises.
Les données exposées pour chaque personne varient en fonction des informations fournies aux services de santé et du type de traitement reçu.
Les informations auxquelles la partie non autorisée a accédé n’incluent pas les informations financières ni les informations d’identification du compte.
Le nombre exact de personnes touchées par ce cyber-incident était resté inconnu jusqu’à ce que PJ&A soumette les informations pertinentes au portail des violations du Bureau des droits civils du ministère américain de la Santé et des Services sociaux, qui confirme désormais que le nombre est de 8 952 212 patients.
Auparavant, le plus grand fournisseur de soins de santé de Chicago, Cook County Health (CCH), avait informé 1,2 million de patients que leurs dossiers médicaux avaient été violés lors de l’incident PJ&A, annonçant qu’il mettrait fin à sa relation avec le fournisseur en conséquence.
Hier, Northwell Health, le plus grand prestataire de soins de santé de New York, a annoncé avoir subi une violation indirecte de données résultant de la compromission du réseau PJ&A. La notification indique que les données de Northwell ont été volées entre le 7 et le 19 avril.
Le nombre de personnes touchées qui ont reçu des soins dans les cliniques de Northwell Health et dont les informations sensibles ont été exposées lors de cet incident dépasse les 3,8 millions.
Cela signifie que quatre millions de personnes supplémentaires dont les données médicales ont été exposées par l’intermédiaire d’autres prestataires de soins de santé n’ont pas encore été informées.
Bleeping Computer a contacté PJ&A pour lui poser d’autres questions sur l’attaque, mais aucun commentaire n’était immédiatement disponible.