Les informations médicales privées de plus de 4 000 patients ont été exposées pendant 16 ans par un centre de transplantation médicale américain.

Virginia Commonwealth University Health System (VCU) a annoncé que les données sensibles appartenant à la fois aux donneurs et aux receveurs de greffes pouvaient être consultées par d’autres sur un portail patient depuis 2006.

Le fournisseur de soins de santé a dit que 4 441 personnes ont été touchées par la violation, qui concernait des données, notamment des noms, des numéros de sécurité sociale, des résultats de laboratoire, des numéros de dossier médical et/ou des dates de naissance.

Cette information « peut avoir été visible » pour les receveurs de greffe, les donneurs et/ou leurs représentants lorsqu’ils se sont connectés au portail patient du receveur et/ou du donneur, a déclaré VCU.

Découverte

La fuite de données a été découverte le 7 février 2022 et de plus amples informations sur les types de données impliquées ont été trouvées les 29 mars et 27 mai.

VCU n’a pas encore publié de détails sur la façon dont l’incident de confidentialité s’est produit, mais a déclaré qu’il n’y avait aucune preuve que des informations aient été utilisées à mauvais escient.

Parler à La gorgée quotidienneAshutosh Rana, consultant senior en sécurité chez Synopsys Software Integrity Group, a spéculé sur ce qui aurait pu se passer, déterminant qu’il s’agissait probablement d’un « cas typique » de mauvaise configuration.

Rana a déclaré : « D’après les informations limitées disponibles à ce sujet, cela semble être un cas typique de problème de conception ou de mauvaise configuration, où un patient (donneur ou receveur) peut accéder aux données de quelqu’un d’autre sans exploiter activement la moindre faiblesse du système.

« Tout utilisateur avait juste besoin de se connecter pour voir les informations de quelqu’un d’autre, car il [is] censé être de cette façon par la conception du système.

« Le portail des patients est un élément essentiel de tout système de santé, il est donc surprenant de voir que cette faille n’a pas été détectée pendant si longtemps. La bonne partie est qu’il semble que tout patient doit avoir un compte valide (donneur ou receveur) pour faire partie de cet incident qui contient l’incident dans un certain sens.

Ils ont ajouté: «De nos jours, de nombreux systèmes de soins de santé sont conçus de manière à ce que les informations sensibles telles que SSN, DOB ou autres PII / PHI ne soient pas partagées du tout ou au moins masquées à l’écran par défaut, leur visualisation nécessite également une étape supplémentaire- l’authentification.

Un porte-parole de VCU a déclaré La gorgée quotidienne: « Les données telles que les résultats de laboratoire, les numéros de dossier médical, les dates des enquêtes et les anniversaires étaient potentiellement consultables par les donneurs et les receveurs d’organes. Les donateurs ne pouvaient voir que les informations d’un seul destinataire, le cas échéant.

«Le nombre de donneurs que les receveurs ont pu consulter dépendait du nombre de donneurs potentiels qui ont été testés.

« Nous sommes assurés pour cette possibilité et avons travaillé avec les experts en cybersécurité à notre disposition via notre couverture d’assurance pour résoudre le problème. »

TU POURRAIS AUSSI AIMER Une clinique ophtalmologique américaine subit une violation de données affectant 92 000 patients