[ad_1]

Géant des tests médicaux Lab Corp. a déclaré aujourd’hui que les données personnelles et financières de quelque 7,7 millions de consommateurs ont été exposées par une violation dans une société tierce de recouvrement de factures. Ce tiers — le Agence américaine de collecte médicale (AMCA) – a également récemment notifié une entreprise concurrente Diagnostic de quête qu’une intrusion dans son site Web de paiement a exposé les données personnelles, financières et médicales de près de 12 millions de patients de Quest.

Il y a quelques jours à peine, la nouvelle parlait de la façon dont Quest avait subi une brèche majeure. Mais la divulgation d’aujourd’hui par LabCorp. suggère que nous sommes loin d’avoir fini d’entendre parler d’autres entreprises dont des millions de consommateurs ont été victimes à cause de cet incident : , les entreprises de télécommunications et les agences nationales et locales de trafic/péage.

Dans un dépôt aujourd’hui auprès du Commission américaine des valeurs mobilières et des échanges, Lab Corp. a déclaré avoir appris que la violation à l’AMCA avait persisté entre le 1er août 2018 et le 30 mars 2019. Il a déclaré que les informations exposées pourraient inclure le prénom et le nom, la date de naissance, l’adresse, le téléphone, la date du service, le fournisseur et les informations sur le solde. .

« Le système concerné d’AMCA comprenait également des informations de carte de crédit ou de compte bancaire fournies par le consommateur à AMCA (pour ceux qui cherchaient à payer leur solde) », indique le dossier. «LabCorp n’a fourni aucun test commandé, résultats de laboratoire ou informations de diagnostic à l’AMCA. L’AMCA a informé LabCorp que les numéros de sécurité sociale et les informations d’identification d’assurance ne sont ni stockés ni conservés pour les consommateurs de LabCorp. »

LabCorp a en outre déclaré que l’AMCA a informé LabCorp « qu’elle est en train d’envoyer des avis à environ 200 000 consommateurs LabCorp dont les informations de carte de crédit ou de compte bancaire peuvent avoir été consultées. AMCA n’a pas encore fourni à LabCorp une liste des consommateurs LabCorp concernés ou des informations plus spécifiques à leur sujet.

La divulgation de LabCorp survient quelques jours seulement après la firme de test en laboratoire concurrente Diagnostic de quête divulgué que le piratage de l’AMCA a exposé les données personnelles, financières et médicales d’environ 11,9 millions de patients.

Quest a déclaré avoir entendu parler pour la première fois de la violation par l’AMCA le 14 mai, mais ce n’est que deux semaines plus tard que l’AMCA a divulgué le nombre de patients touchés et les informations consultées, y compris les informations financières (par exemple, les numéros de carte de crédit et coordonnées bancaires), des informations médicales et des numéros de sécurité sociale.

Quest dit qu’il a depuis cessé de faire affaire avec l’AMCA et a embauché une entreprise de sécurité pour enquêter sur l’incident. Tout comme LabCorp, Quest allègue également que l’AMCA n’a toujours pas dit quels 11,9 millions de patients ont été touchés et que la société a retenu des informations sur l’incident.

L’AMCA a refusé de répondre aux questions sur l’impact de la violation de sa page de paiement sur toute personne ayant saisi des données de paiement sur le site de l’entreprise pendant la violation. Mais par l’intermédiaire d’une société de relations publiques extérieure, il a publié la déclaration suivante :

« Nous enquêtons sur un incident de données impliquant un utilisateur non autorisé accédant au système de l’American Medical Collection Agency », lit-on dans une déclaration écrite attribuée à l’AMCA. « Après avoir reçu des informations d’une société de conformité en matière de sécurité qui travaille avec des sociétés de cartes de crédit concernant un éventuel compromis de sécurité, nous avons effectué un examen interne, puis supprimé notre page de paiement Web. »

La déclaration continue :

« Nous avons embauché une société de criminalistique externe tierce pour enquêter sur toute faille de sécurité potentielle dans nos systèmes, migré nos services de portail de paiement Web vers un fournisseur tiers et retenu des experts supplémentaires pour conseiller et mettre en œuvre des mesures visant à améliorer nos systèmes » Sécurité. Nous avons également informé les forces de l’ordre de cet incident. Nous restons attachés à la sécurité de notre système, à la confidentialité des données et à la protection des informations personnelles.

ANALYSE

L’AMCA exerce également ses activités sous le nom de « Retrieval-Masters Creditors Bureau», une entreprise qui est en affaires depuis 1977. Retrieval-Masters a également une réputation atroce pour avoir prétendument harcelé les consommateurs pour des dettes qu’ils n’ont jamais dues.

Une recherche sur le nom de l’entreprise à la page des plaintes du Bureau de protection financière des consommateurs (CFPB) génère près de 700 plaintes pour Retrieval-Masters. L’entreprise a une note « F » catastrophique de la part du Bureau d’éthique commercialeavec 60 plaintes classées à son encontre au cours des trois dernières années.

L’examen d’un certain nombre de ces plaintes révèle certains des autres clients actuels et/ou antérieurs de l’AMCA, y compris le New Jersey EZPass système. De récentes plaintes de consommateurs concernant l’AMCA invoquent également le nom de Solutions de trafic américain, qui dessert les flottes de voitures de location et traite quelque 50 millions de transactions de péage par an. ATS n’a pas répondu aux demandes de commentaires.

Je suppose que nous entendrons bientôt parler de nombreuses autres entreprises et de millions de consommateurs supplémentaires touchés par cette violation à l’AMCA. Certes, des entreprises comme Quest et LabCorp. ont le devoir de s’assurer que les sous-traitants protègent correctement les informations personnelles, médicales et financières de leurs patients.

Mais cet incident AMCA est le dernier exemple d’une violation dans une entreprise peu connue qui détient néanmoins de grandes quantités de données sensibles partagées ou stockées de manière indépendante de la volonté des consommateurs concernés.

Le 24 mai, BreachTrace a annoncé que le site Web du géant de l’assurance titres immobilier Fortune 500 First American Financial [NYSE:FAF] a divulgué 885 millions de documents liés à des transactions hypothécaires remontant à 2003, jusqu’à ce qu’ils soient notifiés par BreachTrace. Les dossiers numérisés – y compris les numéros de compte bancaire et les relevés, les dossiers hypothécaires et fiscaux, les numéros de sécurité sociale, les reçus de transaction par câble et les images de permis de conduire – étaient disponibles sans authentification pour toute personne disposant d’un navigateur Web.

De nombreux lecteurs ont écrit pour dire qu’ils n’avaient jamais entendu parler de First American, mais il s’agit de la plus grande compagnie d’assurance titres aux États-Unis. L’assurance titres est généralement requise pour tous les prêts hypothécaires résidentiels et protège l’acheteur contre toute réclamation jusqu’alors inconnue contre la propriété. First American gère actuellement environ une transaction d’assurance titres sur quatre – généralement dans le cadre du processus de clôture hypothécaire – ce qui signifie que des dizaines de millions d’Américains ont été potentiellement exposés par la sécurité inexplicablement laxiste de l’entreprise.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *