2025-04-24 19:26:00
Partage non intentionnel des informations de santé par Blue Shield of California
Alerte aux membres concernant des données sensibles
Blue Shield of California a récemment informé ses membres qu’il a potentiellement partagé, sans le savoir, des informations de santé protégées concernant 4,7 millions de personnes avec Google sur une période de trois ans. Cette situation a surgi à la suite d’une configuration inappropriée de Google Analytics, outil que l’assureur utilise pour évaluer l’usage de ses sites par les membres.
L’origine du problème
Le problème remonte à une période s’étendant d’avril 2021 à janvier 2024, durant laquelle Blue Shield de California a découvert que Google Analytics avait été configuré de manière à permettre le partage de certaines données des membres avec l’outil publicitaire de Google, Google Ads. Cette configuration a conduit à la possibilité que certaines données sensibles, potentiellement comprenant des informations de santé protégées, soient partagées.
Utilisation des données par Google
Selon Blue Shield, les données qui ont pu être intentionnellement partagées ont pu être utilisées par Google pour concevoir des campagnes publicitaires ciblées. L’assureur note qu’il n’y a eu aucune implication malveillante dans ce partage d’information et assure que, jusqu’à présent, Google n’a pas utilisé ces données pour d’autres fins que celles liées à la publicité.
Portée de l’incident
Cette fuite d’informations a touché environ 4,7 millions d’assurés, comme l’a rapporté le Bureau des droits civils du ministère de la Santé et des Services sociaux. Blue Shield a immédiatement rompu les liens entre Google Analytics et Google Ads en janvier 2024, minimisant le risque que d’autres données soient compromises après cette date.
Types de données potentiellement compromises
Les informations concernant les membres qui ont pu être compromises comprennent : le nom et le type de plan d’assurance, le numéro de groupe, la ville, le code postal, le sexe, la taille de la famille, les identifiants attribués par Blue Shield pour les comptes en ligne, ainsi que les détails des demandes de soins médicaux, incluant le nom du patient et la part financière. Toutefois, il est rassurant de noter qu’aucune donnée personnelle critique tel que le numéro de sécurité sociale ou les informations bancaires n’a été divulguée.
Recommandations pour les membres
En réponse à cet incident, Blue Shield encourage ses membres à rester vigilants en surveillant de près leurs relevés de compte et leurs rapports de crédit. Il est conseillé aux membres de signaler rapidement toute activité suspecte à leur institution financière et de prendre les mesures appropriées en cas d’identité volée. Cela comprend la possibilité de déposer un rapport auprès des autorités compétentes, incluant les forces de l’ordre locales ou la Federal Trade Commission.
Tendances plus larges dans la sécurité des données
Il est important de noter que la majorité des violations de données dans le secteur de la santé résulte de cyberattaques. Un rapport publié en juin par KnowBe4 a mis en lumière une augmentation des cyberattaques qui a entraîné une augmentation significative des coûts liés à ces violations, avec un coût moyen d’environ 11 millions de dollars pour les organisations de santé, ce qui en fait le secteur le plus touché en matière de cybersécurité. Les attaques par ransomware se sont avérées particulièrement fréquentes, représentant plus de 70 % des cyberattaques réussies sur les organismes de santé au cours des deux dernières années.