Les images médicales et les données sur la santé de millions d'Américains, y compris les rayons X, les IRM et les tomodensitogrammes, ont été découverts sur des serveurs non sécurisés.
Les enregistrements couvrent plus de 5 millions de patients aux États-Unis et des millions d'autres dans le monde. Dans certains cas, ces images et données privées peuvent être visionnées par toute personne ayant accès à un navigateur Web.
Une enquête menée par ProPublica et le radiodiffuseur allemand Bayerischer Rundfunk a identifié 187 serveurs aux États-Unis qui n'étaient pas protégés par des mots de passe ou des mesures de sécurité élémentaires. Contrairement à d'autres atteintes récentes aux données de grande envergure, ces enregistrements ont été stockés sur des serveurs dépourvus des mesures de sécurité généralement utilisées par les entreprises et les organismes gouvernementaux.
ProPublica a constaté que l’ampleur de l’exposition varie selon le fournisseur de soins de santé et le logiciel de traitement des dossiers médicaux qu’il utilise. Par exemple, le serveur de la société américaine MobilexUSA affichait les noms, dates de naissance, médecins et procédures de plus d'un million de patients. Toute cette information était accessible en saisissant une simple requête de données. La société a depuis amélioré sa sécurité après avoir été alertée par ProPublica.
Sommaire
Données médicales non sécurisées
Au total, les données médicales de plus de 16 millions d’analyses dans le monde étaient disponibles en ligne et comprenaient les noms, les dates de naissance et, dans certains cas, les numéros de sécurité sociale.
Toutefois, il a été difficile pour les experts de blâmer et de mettre en cause le responsable. En vertu de la législation américaine, les prestataires de soins de santé et leurs partenaires commerciaux sont légalement responsables de la protection de la confidentialité des données des patients. Selon plusieurs experts, exposer les données des patients de la même manière que ces entreprises pourrait constituer une violation de la loi HIPAA (Health Insurance Portability and Accountability Act).
Heureusement, ProPublica n’a trouvé aucune preuve que les données des patients exposés aient été copiées de ces systèmes et publiées ailleurs, mais les conséquences d’un accès non autorisé à ce type d’informations pourraient être dévastatrices.
L'enquête de l'organisation à but non lucratif a montré que les grandes chaînes d'hôpitaux et les centres médicaux universitaires avaient mis en place les protections de sécurité nécessaires pour protéger leurs données. Cependant, les radiologistes indépendants, les centres d’imagerie médicale et les services d’archivage n’ont pas réussi à protéger les données qu’ils détenaient.
Via ProPublica
