La ville de Philadelphie a révélé qu'un incident survenu en mai 2024 et divulgué en octobre avait eu un impact sur les informations personnelles et protégées de santé de plus de 35 000 personnes.

L’enquête a révélé que les attaquants ont eu accès à plusieurs comptes de messagerie entre le 26 mai 2023 et le 28 juillet 2023.

Lorsqu'elle a révélé la violation de données en octobre, la Ville a également révélé les types d'informations exposées pour les personnes concernées, qui comprennent une combinaison de :

• des informations démographiques, telles que le nom, l'adresse, la date de naissance,
• numéro de sécurité sociale et autres coordonnées ;
• des informations médicales, telles que le diagnostic et d’autres informations relatives au traitement ;
• et des informations financières limitées, telles que des informations sur les réclamations.

La ville affirme que la violation de données a touché 35 881 personnes dans un dépôt avec le bureau du procureur général du Maine.

Les personnes concernées dont les données personnelles (notamment le nom, l’adresse, le numéro de sécurité sociale et les informations sur le compte financier) ont été exposées lors de la violation ont été informées le lundi 8 juillet.

La Ville a également envoyé des notifications de violation de données le 16 mai à ceux dont les informations de santé protégées ont été exposées lors de la violation.

« Par mesure de précaution, nous avons procédé à un examen approfondi et minutieux pour déterminer quelles informations étaient potentiellement accessibles et à qui ces informations se rapportent », peuvent-ils lire dans les lettres de notification de violation envoyées aux personnes concernées.

« Une fois l'enquête terminée, nous avons également travaillé à la validation des résultats et à la localisation des informations d'adresse manquantes pour les personnes potentiellement concernées. Nous avons récemment terminé ce processus, puis nous avons travaillé aussi rapidement que possible pour fournir un avis. »

La ville a informé les forces de l'ordre fédérales de la violation, améliore les mesures de protection et la formation de ses employés et offre aux personnes concernées des services gratuits de surveillance du crédit pendant 12 mois.

Ils recevront également des conseils pour mieux se protéger contre le vol d’identité et la fraude, notamment sur la manière de signaler tout incident suspect à leur banque, à leur société de carte de crédit ou à toute autre institution concernée.

Les responsables de la ville n'ont pas encore expliqué comment les attaquants ont piraté les comptes de messagerie de la ville et pourquoi ils ont retardé la divulgation pendant cinq mois.

Le département des services de santé comportementale et de déficience intellectuelle de la ville (DBHIDS) a révélé une violation de la loi HIPAA il y a quatre ans, en juin 2020, après que les informations personnelles sur la santé des personnes qu'elle servait aient été compromises lors d'une attaque de phishing.

UN avis de violation publié sur le site Web de l'organisation a révélé à l'époque que les attaquants avaient accédé aux comptes de messagerie piratés des employés de DBHIDS et de Community Behavioral Health entre le 31 mars et le 15 novembre 2020.