La ville de Philadelphie a révélé qu’une divulgation de mai 2024 en octobre avait eu une incidence sur les renseignements personnels et protégés sur la santé de plus de 35 000 personnes.
L’enquête a révélé que les attaquants ont eu accès à plusieurs comptes de messagerie entre le 26 mai 2023 et le 28 juillet 2023.
Lorsqu’elle a divulgué la violation de données en octobre, la Ville a également révélé les types d’informations exposées pour les personnes touchées, qui comprennent une combinaison de:
- informations démographiques, telles que nom, adresse, date de naissance,
- numéro de sécurité sociale et autres coordonnées;
- informations médicales, telles que le diagnostic et d’autres informations relatives au traitement;
- et des informations financières limitées, telles que des informations sur les réclamations.
La ville affirme que la violation de données a touché 35 881 personnes dans un dossier déposé auprès du Bureau du procureur général du Maine.
Les personnes concernées dont les données personnelles (y compris le nom, l’adresse, le numéro de sécurité sociale et les informations de compte financier) ont été exposées dans la violation ont été notifiées le lundi 8 juillet.
La Ville a également envoyé des notifications de violation de données le 16 mai aux personnes dont les informations de santé protégées ont été exposées lors de la violation.
« Par prudence, nous avons procédé à un examen approfondi et approfondi pour déterminer quelles informations étaient potentiellement accessibles et à qui ces informations se rapportent », peut-on lire dans les lettres de notification d’atteinte envoyées aux personnes concernées.
« Une fois terminé, nous avons également travaillé à valider les résultats et à localiser les informations d’adresse manquantes pour les personnes potentiellement touchées. Nous avons récemment terminé ce processus, puis avons travaillé aussi rapidement que possible pour fournir un préavis. »
La Ville a informé les forces de l’ordre fédérales de l’atteinte, améliore les mesures de protection et la formation de ses employés et offre aux personnes touchées des services gratuits de surveillance du crédit pendant 12 mois.
Ils recevront également des conseils pour mieux se protéger contre le vol d’identité et la fraude, y compris des conseils sur le signalement de tout incident suspect à leur banque, société émettrice de carte de crédit ou autre institution concernée.
Les responsables de la Ville n’ont pas encore expliqué comment les attaquants ont piraté les comptes de messagerie de la Ville et pourquoi ils ont retardé la divulgation de cinq mois.
Le Département des Services de Santé comportementale et de Déficience intellectuelle de la Ville (DBHIDS) a également divulgué une violation de la HIPAA il y a quatre ans, en juin 2020, après que les informations personnelles sur la santé des personnes qu’il servait aient été compromises lors d’une attaque de phishing.
Un avis de violation publié sur le site Web de l’organisation a révélé à l’époque que les attaquants avaient accédé aux comptes de messagerie piratés de DBHIDS et d’employés de la Santé comportementale communautaire entre le 31 mars et le 15 novembre 2020.