Le ministère de la Santé de l’Indiana a déclaré cette semaine qu’il notifiait près de 750 000 Hoosiers après qu’une entreprise “a accédé de manière incorrecte” aux données de l’enquête de recherche de contacts en ligne COVID-19 de l’État.
Mais l’entreprise en question, le fournisseur de cybersécurité UpGuard, a déclaré au Presse associée‘ Rick Callahan qu’il avait effectivement découvert que les données étaient accessibles au public sur Internet et en avait informé le service de santé.
“C’est ce qu’on appelle une fuite de données”, a déclaré Kelly Rethmeyer, porte-parole d’UpGuard, dans un communiqué envoyé à Callahan. “Ce n’était pas non autorisé car les données étaient configurées pour permettre l’accès à des utilisateurs anonymes et nous y avons accédé en tant qu’utilisateur anonyme.”
UpGuard a supprimé toutes les données en sa possession, a déclaré Rethmeyer.
UpGuard et IDH n’ont pas répondu à Actualités informatiques de la santé‘ demandes de commentaires par temps de presse.
POURQUOI EST-CE IMPORTANT
IDH dit qu’il a appris le 2 juillet, qu’une entreprise avait accédé aux données de l’enquête en ligne de recherche des contacts COVID-19 de l’État. Les données comprenaient les noms, les adresses, les dates de naissance, les e-mails, le sexe, l’origine ethnique et la race.
Mais les représentants d’UpGuard ont déclaré à Callahan qu’il n’avait pas “accédé de manière incorrecte” aux données.
Au contraire, a déclaré Rethmeyer, la société “a aidé à sécuriser les informations, garantissant à leur tour qu’elles ne seraient plus accessibles à toute personne malveillante”.
Les responsables de l’Indiana ont déclaré qu’UpGuard avait signé un soi-disant certificat de destruction pour confirmer qu’il avait détruit les données et ne les avait partagées avec aucune autre entité.
Les dossiers ont été rendus le 4 août.
“Nous prenons la sécurité et l’intégrité de nos données très au sérieux”, a déclaré Tracy Barnes, directrice de l’information de l’État, dans une déclaration fournie au site d’information local WTHR. “L’entreprise qui a accédé aux données est une entreprise qui recherche intentionnellement des vulnérabilités logicielles, puis cherche à faire des affaires.”
“Nous avons corrigé la configuration du logiciel et effectuerons un suivi agressive pour nous assurer qu’aucun enregistrement n’a été transféré”, a ajouté Barnes.
LA PLUS GRANDE TENDANCE
Bien que la situation exacte avec IDH ne soit pas claire, ce ne serait pas la première fois que des données liées au COVID-19 seraient accidentellement rendues publiques.
En mai de cette année, un employé du Wyoming Department of Health a téléchargé par erreur les résultats des tests de COVID-19, de grippe et d’alcoolémie pour plus d’un quart de la population de l’État sur un site Web public.
Deux mois auparavant, un employé de l’État de Californie avait accédé de manière incorrecte à plus de 2 000 dossiers d’employés et de patients de l’hôpital d’État d’Atascadero qui avaient été nécessaires pour suivre COVID-19.
SUR LE RECORD
Concernant l’incident de l’Indiana, “dans ce cas, les données qui ont été consultées semblent l’avoir été d’une manière qui ne les mettait pas en danger pour les cybercriminels de les obtenir”, a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez le fournisseur de formation KnowBe4. , dans un rapport.
“Malheureusement, des erreurs de ‘configuration logicielle’ comme celle-ci conduisent souvent à l’accès aux données par de mauvais acteurs, mettant en danger les utilisateurs des systèmes”, a déclaré Kron.
Kat Jercich est rédactrice en chef de Healthcare IT News.
Twitter: @kjercich
Courriel : [email protected]
Healthcare IT News est une publication de HIMSS Media.
