Connexion
Abonnez-vous

Les données médicales et personnelles de 750 000 Français sont à vendre

Le 19 novembre à 18h04

La liste noire du jour prend encore de l’ampleur. Un pirate sous le pseudo near2tlg annonce la mise en vente de « données médicales françaises (Mediboard) » de pas moins de 750 000 patients. Les informations sont vastes : nom, prénom, date de naissance, sexe, adresse, ville, code postal, numéro(s) de téléphone, e-mail, mais aussi médecin traitant, ordonnances, déclaration de décès, identifiants externes et historique de santé.

Sur le forum, le pirate propose trois « slots » pour acheter les données. Le compteur est toujours à 0 pour l’instant.

Dans un exemple mis en ligne pour appuyer ses dires, on peut également voir qu’il y a parfois des précisions médicales sur les patients : « DP 1100 - 600 mais mutuelle rembourse 70% du tarif ss pth pr vu le 24 janvier 2024 », « Intol rance tramadol et acupan:vomissements ».

Clubic, qui annonce la fuite, a pu contacter l'éditeur du logiciel Mediboard : la société Softway Medical Ville. « Ce logiciel de gestion hospitalière utilisé en France est réputé et connu pour aider les établissements de santé, comme les hôpitaux, les cabinets médicaux et les cliniques, à mieux gérer leurs activités. En l'occurrence, il a ici été exploité par le cybercriminel pour récupérer une grande quantité de données », expliquent nos confrères.

Alertée par Clubic, l’entreprise a mené l’enquête sur cette fuite dont elle n’était visiblement pas au courant. « Il s'agit de l'un de nos clients, qui lui-même n'était pas au courant », leur explique Déborah Draï, la responsable de communication. « En revanche, ce n'est pas nous qui hébergeons les données de santé », ajoute la société, en précisant qu’elle n'est pas non plus responsable de traitement.

« L'établissement concerné par la fuite est notre client à travers la solution Mediboard. Cela touche l'export des données », explique Déborah Draï. La responsable ajoute dans un second temps que son logiciel n'est pas mis en cause et que l'attaque pourrait se résumer en « une usurpation d'un compte à privilèges, au sein de l'infrastructure du client, par une personne qui a utilisé les fonctions standards de la solution », comme le rapporte Clubic.

Il y a peu, l’ANSSI alertait pour rappel sur les risques des établissements de santé face aux cyberattaques et listait des recommandations à mettre en place… dont la vérification des droits des utilisateurs.

Le 19 novembre à 18h04

Commentaires (8)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Les données de santé ne sont pas cadréees par HADS ? A l'époque où je travaillais dessus c'était quand même assez rigoureux tel PCI
votre avatar
Comment est-ce qu'un "établissement" peut se retrouver en possession des données de 750 000 personnes ?
À moins que l'AP-HP par exemple soit considéré comme un "établissement" ?
On peut demander l'export et la suppression de nos données d'un hôpital ou de n'importe quel professionnel de santé par lequel on est passé et où on ne prévoit pas de revenir ?
votre avatar
750000 pour une établissement de santé c'est peu de choses, cher ami.
J'imagine que le phishing a encore frappé. Courage aux équipes SSI du client.
votre avatar
750 000 personnes c'est franchement minuscule
à partir de 10/20M ça devient intéressant
celles de twitter, facebook, linkedin, c'est sup à 100M chacune.
votre avatar
GG !
Ils ont fait 250.000 clients de plus que Auchan !! :D
votre avatar
C'est dire si la PDM d'Auchan est dégueulasse !
votre avatar
Les données médicales et personnelles de 750 000 Français sont à vendre
Ah, très bien.

Si je suis dedans, vous me compterez 70% pour les droits d'auteur SVP.
votre avatar
Je me contente des 30% restant si j'y figure. :merci:

Les données médicales et personnelles de 750 000 Français sont à vendre

Fermer