Medical Lab Quest Diagnostics dit que 34 000 comptes clients ont été piratés

(NaturalNews) La société de laboratoires médicaux Quest Diagnostics a annoncé que les pirates avaient accès à son application mobile à la fin du mois de novembre, volant les informations personnelles sur la santé de 34 000 personnes. La société a directement contacté les patients concernés.

Il n’est pas étonnant que Quest Diagnostics ait été une cible séduisante pour les pirates informatiques. C’est une société Fortune 500 qui fournit des services de diagnostic à un adulte américain sur trois chaque année. Chaque année, il fournit également des services à la moitié des hôpitaux et des médecins du pays.

La violation a eu lieu via son application mobile, MyQuest by Care360, qui permet aux patients de gérer leurs rendez-vous et voir les résultats de leurs tests. Le piratage a donné accès à un tiers non autorisé aux noms des patients, aux dates de naissance, aux résultats de laboratoire et aux numéros de téléphone. Les données piratées ne contenaient pas de numéros de sécurité sociale ou d’informations financières ou d’assurance.

La vie privée du patient n’est pas sûre

Le piratage n’est que le dernier en date d’un nombre croissant de cyberattaques contre des sociétés de soins de santé. Au cours des 11 premiers mois de l’année, 92 violations de données liées aux soins de santé ont été signalées (sans compter la violation de Quest Diagnostics, signalée ce mois-ci). L’année dernière, les hacks ont compromis les dossiers de plus de 12 millions de patients.

«Pour les pirates informatiques, développer une attaque ciblée est un effort important, il n’est donc pas surprenant qu’ils se concentrent sur des organisations de soins de santé qui stockent des données de patients précieuses (significativement plus précieuses que les cartes de crédit …)», a déclaré Israel Levy, PDG de BUFFERZONE. Il a appelé le piratage Quest Diagnostics “encore une autre indication que malgré les réglementations comme HIPAA, les organisations de soins de santé ne font toujours pas assez pour se protéger.”

La Loi sur la transférabilité et la responsabilité en matière d’assurance maladie (HIPAA) exige que les prestataires de soins de santé protègent la confidentialité des informations des patients. Ainsi, les enregistrements stockés ou transmis sur des réseaux accessibles à distance doivent être protégés avec les plus hauts niveaux de sécurité numérique – ce qui, en général, ne semble pas se produire.

Dans un cas très médiatisé l’année dernière, Anthem Blue Cross Blue Shield – le deuxième plus grand assureur du pays – a subi une violation de données affectant les dossiers d’un nombre étonnant de 78,8 millions de personnes. Dans ce cas, aucune information médicale ou de carte de crédit n’a été perdue, mais les patients ont été avertis que les informations perdues – noms, dates de naissance, numéros de sécurité sociale, informations sur l’emploi, adresses électroniques et même adresses – suffisaient à alimenter différents types de vol d’identité. et la fraude métabolisme. Il a également fourni un moyen pour les escrocs de contacter les patients, se faisant passer pour des représentants d’Anthem, et d’essayer de recueillir plus d’informations.

Des cibles très rentables

Les preuves suggèrent que l’information piratée se vend pour des sommes lucratives sur le marché noir. Plus tôt cette année, un pirate a déclaré vendre au total 655 000 dossiers de patients de trois organismes de soins de santé différents. Le vendeur demandait entre 100 000 $ et 395 000 $ par base de données.

Les pirates peuvent également trouver d’autres moyens de gagner de l’argent auprès de l’industrie des soins de santé. En février de cette année, le Hollywood Presbyterian Medical Center a payé 16.664 $ (40 bitcoins) en rançon aux pirates informatiques qui avaient fermé leur réseau informatique. Dans ce type d’attaque, connu sous le nom de ransomware, les pirates chiffrent les données de la victime et fournissent la clé de déchiffrement seulement après avoir reçu un paiement de rançon.

Le PDG de l’hôpital, Allen Stefanek, a déclaré que les soins aux patients n’étaient pas affectés et que les dossiers hospitaliers restaient inconditionnels, mais que les administrateurs avaient décidé que “le moyen le plus rapide et efficace de restaurer nos systèmes et fonctions administratives était de payer la rançon”.

Les experts en sécurité informatique déconseillent normalement de payer une rançon, bien que cela soit parfois contredit par l’application de la loi, a déclaré Adam Kujawa, responsable de l’intelligence des logiciels malveillants pour la société de sécurité numérique Malwarebytes.

“Malheureusement, beaucoup d’entreprises ne disent à personne si elles ont été victimes de ransomware et surtout si elles ont payé les criminels”, a dit Kujawa, “mais je sais par expérience que les professionnels de l’industrie m’ont dit que pratique courante de simplement remettre l’argent. “