SuperCare Health fait face à une poursuite judiciaire pour avoir mis en place des « mesures de sécurité incompétentes » afin d'empêcher une fuite de données.

Le plaignant a intenté une action en justice contre SuperCare Health dans le district central de Californie, aux États-Unis, et a allégué que la société disposait de « mesures de sécurité incompétentes » pour empêcher les violations de données.

La société californienne SuperCare Health fait face à une action en justice suite à la fuite de données de juillet 2021. SuperCare a récemment révélé qu'environ 318 379 enregistrements de données ont été compromises, ce qui en fait l'une des plus importantes violations de données de Medicare signalées en 2022.

Selon SuperCare Health, des cybercriminels ont accédé à la base de données de l'organisation avec autorisation entre le 23 et le 27 juillet. Les malfaiteurs ont obtenu des informations personnelles identifiables (IPI), notamment les noms, les informations sur l'assurance maladie, l'adresse, les numéros de dossier médical, la date de naissance, les numéros de compte patient, les informations sur les demandes de remboursement d'assurance, les informations sur le traitement des patients et les informations sur le groupe Medicare.

Toutefois, dans une plainte déposée auprès du tribunal du district central de Californie aux États-Unis, la plaignante Vickey Angulo a accusé l'organisme de santé de ne pas avoir empêché la violation de données et de ne pas avoir mis en œuvre de mesures de protection efficaces en matière de cybersécurité. « malgré le fait que les attaques par violation de données contre les systèmes médicaux et les prestataires de soins de santé atteignent un niveau record. » 

« Selon les informations dont dispose le défendeur, le mécanisme de la cyberattaque et le risque potentiel de divulgation inappropriée des informations privées du plaignant et des membres du groupe étaient connus de ce dernier, comme en témoignent les fréquents reportages et les avertissements du FBI au secteur de la santé. Le défendeur était donc conscient que le fait de ne pas prendre les mesures nécessaires pour protéger les informations privées contre ces risques les exposait à un danger et à une vulnérabilité accrus. » le dossier indiqué.

Cependant, la plainte soulignait également que, grâce à l'accès aux informations des patients, les cybercriminels pouvaient ouvrir de nouveaux comptes financiers via des identités synthétiques, utiliser les informations des membres du groupe pour obtenir des prestations gouvernementales et obtenir de faux permis de conduire au nom des victimes.

Le plaignant a également fait valoir que l'avis de manquement de SuperCare fournissait « Peu de détails sur la nature, la gravité ou la durée de l'attaque. »

SuperCare a décrit l'incident comme « activité non autorisée » et a déclaré qu'une partie inconnue avait accédé à certains systèmes de son réseau « n’a pas su adapter et former correctement ses employés, même aux protocoles de sécurité de l’information les plus élémentaires. »

De plus, le plaignant a également souligné que la société de santé n'a informé les victimes de la violation de données qu'en mars, soit plusieurs mois après les faits. L'avis de SuperCare précisait que son enquête s'était conclue le 4 février 2022. Par ailleurs, il a été reproché à la société d'avoir enfreint la loi HIPAA et les directives de la Federal Trade Commission (FTC), et de ne pas s'être conformée aux exigences de sécurité du NIST.

Lecture suggérée: Les organisations de santé sud-africaines deviennent la dernière proie des cybercriminels.