Cencora a jusqu’à présent informé plus d’un million de personnes aux États-Unis que leurs informations de santé personnelles et protégées ont été compromises lors d’une violation de données plus tôt cette année, a constaté TechCrunch.

Le géant pharmaceutique a déclaré en mai qu’un incident survenu en février avait entraîné la compromission des données des patients, que Cencora a obtenues grâce à des partenariats avec des fabricants de médicaments avec lesquels elle travaille dans le cadre de ses programmes de soutien aux patients. Parmi ces fabricants de médicaments figurent AbbVie, Bayer, Pfizer et Regeneron.

Cencora, connue sous le nom d’AmerisourceBergen jusqu’en 2023, indique dans son avis de violation de données que les données compromises comprennent les noms des patients, leur adresse postale et leur date de naissance, ainsi que des informations sur leurs diagnostics de santé, leurs médicaments et leurs ordonnances.

Le géant pharmaceutique a jusqu’à présent refusé de décrire ce qui a conduit à la violation de données, par exemple si l’incident a été causé par des pirates malveillants ou une faille de Sécurité au sein de l’organisation. Cencora a également refusé de confirmer le nombre de personnes qu’elle a informées de la violation de données.

L’analyse de fr.techtribune.netdes notifications de violation de données publiées montre que Cencora a informé au moins 1,43 million de personnes que leurs données ont été compromises lors de l’incident de février.

Dans le cadre de notre analyse, nous avons consulté des avis d’atteinte à la protection des données publiés sur les sites Web de plusieurs procureurs généraux d’États américains, notamment Delaware, Iowa, Massachusetts, Montana, New Hampshire, Texas et Washington. Ces États exigent que les entreprises touchées par une violation de données divulguent publiquement le nombre précis de résidents de leur État à notifier. (De nombreux avis de violation de données sont soit déposés au nom de chaque société pharmaceutique individuellement touchée, soit déposés par l’intermédiaire de la société mère de Cencora, Lash Group.) Le Texas comptait le plus grand nombre de personnes informées de la violation de Cencora, soit 1,05 million de personnes au moment de la rédaction de cet article.

Cencora a soumis son dernier avis de violation de données aux personnes concernées à la mi-juillet, ce qui suggère que le géant pharmaceutique alerte toujours ceux dont les données ont été volées.

Le nombre de personnes touchées par la violation de données est probablement beaucoup plus élevé. Cencora a concédé dans son propre avis de violation de données qu’il ne peut pas aviser toutes les personnes touchées, car il ne dispose pas d’adresses à jour pour envoyer des avis.

Cencora a déclaré plus tôt cette année qu’elle avait servi au moins 18 millions de patients à ce jour.

Contacté par courriel vendredi, le porte-parole de Cencora, Mike Iorfino, n’a pas contesté le nombre de personnes notifiées jusqu’à présent, mais a refusé de fournir un chiffre plus précis ou de commenter la question.

Avec 1,42 million de personnes touchées, cette violation de données se classe déjà comme l’une des plus grandes compromissions d’informations liées à la santé en 2024 jusqu’à présent, selon une liste de violations de données publiée par le ministère américain de la Santé et des Services sociaux (HHS).

Selon le décompte du HHS pour la seule année 2024, le géant de l’assurance maladie Kaiser a notifié plus de 13,4 millions de personnes après avoir partagé par inadvertance des informations personnelles et de santé de patients avec des annonceurs ; la société de gestion des ordonnances Sav-Rx a informé 2,8 millions de personnes que Leurs informations de santé ont été volées lors d’une cyberattaque antérieure ; et l’administrateur des prestations de santé WebTPA ont déclaré à 2,5 millions de personnes que des cybercriminels avaient volé leurs informations d’assurance et leurs numéros de sécurité sociale.

Bien que le nombre de personnes touchées n’ait pas encore été révélé, l’attaque par ransomware de février contre la filiale de technologie de santé de UnitedHealth, Change Healthcare, est probablement l’une des plus grandes violations de données liées à la santé de l’histoire des États-Unis, affectant une « proportion substantielle de personnes en Amérique » – probablement au moins 100 millions de résidents américains.

Cencora, pour sa part, a déclaré que sa violation de données n’avait « aucun lien » avec l’attaque par ransomware et la violation de données chez Change Healthcare.