Laboratory Services Cooperative (LSC) a publié une déclaration informant qu’elle avait subi une violation de données où des pirates informatiques avaient volé des informations sensibles d’environ 1,6 million de personnes de ses systèmes.
LSC est une organisation à but non lucratif basée à Seattle qui fournit des services de laboratoire centralisés à ses affiliés membres, y compris certains centres de planification familiale.
Il joue un rôle crucial dans son créneau, soutenant les organisations des services de santé reproductive dans plus de 35 États américains, gérant les tests de laboratoire sensibles, la facturation et les données personnelles.
L’organisation a publié hier un avis d’incident de sécurité causé par un acteur menaçant qui a violé ses réseaux en octobre 2024 et volé des données.
« Le 27 octobre 2024, LSC a identifié une activité suspecte au sein de son réseau », peut-on lire dans l’avis.
« En réponse, LSC a immédiatement engagé des spécialistes tiers en cybersécurité pour déterminer la nature et la portée de l’incident et a informé les forces de l’ordre fédérales. »
« L’enquête a révélé qu’un tiers non autorisé avait eu accès à des parties du réseau de LSC et avait accédé/supprimé certains fichiers appartenant à LSC. »
Les informations exposées pour chaque individu varient et peuvent inclure un ou plusieurs des types de données suivants:
- Identifiants personnels: Nom complet, numéro de sécurité sociale, numéro de permis de conduire ou de passeport, date de naissance et pièces d’identité délivrées par le gouvernement.
- Informations médicales: Dates de service, diagnostics, traitements, résultats de laboratoire, fournisseur et détails de l’établissement.
- Informations sur l’assurance: Type de régime, assureur et numéros d’identification du membre/groupe.
- Données de facturation et financières: Réclamations, détails de facturation, informations bancaires et de carte de paiement.
Selon un dossier soumis au bureau de l’AG du Maine, la violation de données touche 1 600 000 personnes.
La violation affecte principalement les personnes qui ont subi des tests de laboratoire dans certains centres de planning familial qui utilisent le LSC pour leurs tests. Plus d’informations sur les centres concernés sont disponibles sur cette page FAQ et en appelant LSC.
Bien que l’organisation puisse confirmer quels centres ont été touchés, la validation de l’impact sur le niveau des individus n’est pas fournie pour des raisons de confidentialité.
LSC affirme que l’enquête sur l’incident de sécurité est en cours et que des experts externes en cybersécurité surveillent également le Dark Web pour détecter les fuites de données liées à la violation. Pour l’instant, aucune exposition de ce type ne s’est produite sur les marchés du dark Web, les forums ou les portails d’extorsion.
Les personnes potentiellement touchées sont encouragées à utiliser les services gratuits de surveillance du crédit et de protection de l’identité médicale couverts par LSC pendant 12 ou 24 mois, selon leur état. La date limite d’inscription est le 14 juillet 2025.
Pour les personnes mineures sans SSN ni crédit, un service de surveillance et de protection distinct sera proposé, appelé « Défense mineure ».’
Bien que Planned Parenthood ne soit pas directement responsable de l’exposition des données cette fois-ci, les clients de l’organisation de soins de santé ont vu leurs données exposées pour la deuxième fois en 2024, à la suite d’une attaque de ransomware RansomHub en août 2024.