Une violation de données chez CPAP Medical Supplies and Services, Inc., un entrepreneur de défense basé à Jacksonville, en Floride, a exposé les informations sensibles de 90 133 militaires, anciens combattants et leurs familles après une intrusion non autorisée dans ses systèmes informatiques. La société a déclaré que l’incident de sécurité s’est produit en décembre, mais il n’a été découvert qu’à la fin juin. Des lettres de notification ont ensuite été envoyées à des personnes touchées à la mi-août. Un large éventail de données personnelles et médicales a été exposée, notamment les noms, les dates de naissance, les numéros de sécurité sociale et les numéros d’identification des patients. Les informations compromises englobaient également les détails de l’assurance maladie, les antécédents médicaux complets, les diagnostics spécifiques et les plans de traitement. Cette violation a eu un impact sur des milliers de résidents au Texas dans le cadre du nombre total d’individus touchés. Dans sa lettre de notification, la société a informé les patients: «À la suite d’un incident de cybersécurité, le CPAP a appris qu’un acteur non autorisé a eu accès à notre environnement réseau.» L’entreprise a confirmé qu’il travaillait maintenant avec des professionnels de la cybersécurité externes pour enquêter sur l’incident et pour déterminer toute la mesure dans laquelle les données personnelles ou sensibles avaient été compromises. CPAP Medical Supplies and Services, Inc. s’associe à Tricare, l’assureur santé de l’armée, pour fournir des machines continues de pression des voies respiratoires (CPAP) et des fournitures connexes pour les patients diagnostiqués avec une apnée obstructive du sommeil. Les appareils, qui aident à garder les voies respiratoires d’un utilisateur ouvert pendant le sommeil, suivent également les données de sommeil auxquelles les systèmes de l’entreprise peuvent accéder. En réponse à la violation, la société propose 12 mois de services de surveillance de crédit et de surveillance des identités complémentaires à toutes les personnes touchées. Bien que l’incident ait été répertorié sur les sites Web de notification de violation de données pour les États du Maine, du Massachusetts et de Washington, il n’est pas encore apparu sur le tracker en ligne du procureur général du Texas pour les violations de sécurité des données. La violation n’est pas non plus répertoriée actuellement dans la base de données de la base de données du ministère américain de la Santé et des Services sociaux des infractions à l’information sur la santé.
