Les systèmes de Hankins & Sohn Plastic Surgery ont été piratés en février, et les pirates ont mis en ligne des images avant et après les opérations de chirurgie esthétique de nombreuses femmes, ainsi que leur nom, leur adresse et d'autres données sensibles.
Le FBI enquête actuellement sur ce cyberpiratage, et un certain nombre de plaignantes se sont jointes à une action collective fédérale contre Hankins & Sohn, affirmant que le cabinet n'avait pas fait assez pour protéger leurs données.
Selon 8 News Now, les images piratées qui ont été volées au début de l'année montraient des visages de patients, des poitrines, des zones corporelles sensibles et des photos d'opérations chirurgicales.
Outre les images, des informations personnelles, telles que des noms, des dossiers médicaux, des adresses et des numéros de sécurité sociale, ont été volées lors du piratage et mises en ligne.
Selon 8 News Now, 12 000 patients pourraient avoir été touchés.
Une patiente qui a subi une augmentation mammaire dans ce cabinet et dont les photos et les informations ont été piratées et diffusées a déclaré à 8 News Now : "Nous sommes allées dans un cabinet que nous pensions être sûrs. Nous avons payé beaucoup d'argent et regardez ce qui se passe".
Parmi les quatre femmes anonymes qui ont parlé au média, l'une a déclaré avoir payé 7 000 dollars à Hankins & Sohn pour sa chirurgie esthétique, tandis qu'une autre a payé 30 000 dollars pour une métamorphose complète du corps.
Une femme a déclaré que le piratage était : "Absolument déchirant. Je ne voulais même pas sortir de chez moi. Je ne voulais même pas parler à qui que ce soit".
Une autre a déclaré à 8 News Now : "Je suis vraiment mortifiée que mes informations et mes photos aient été divulguées". Un troisième a déclaré : "En plus de cela, je suis absolument humilié. C'est dévastateur".
Parlant de ce qu'elles veulent retirer du procès, l'une des femmes a déclaré :
Je veux que justice soit faite.
Je veux qu'ils reconnaissent ce qu'ils n'ont pas fait. Ils n'ont pas protégé nos photos. Ils n'ont pas protégé nos informations. Je veux qu'ils disent qu'ils ont eu tort de ne pas assurer la sécurité qu'ils sont censés avoir dans un cabinet médical.
Je veux qu'ils reconnaissent ce qu'ils n'ont pas fait. Ils n'ont pas protégé nos photos. Ils n'ont pas protégé nos informations. Je veux qu'ils disent qu'ils ont eu tort de ne pas assurer la sécurité qu'ils sont censés avoir dans un cabinet médical.
L'avocat Mark Bourassa représente dix femmes dans le cadre d'une action collective.
L'action en justice indique que la violation est "le résultat direct de l'incapacité du défendeur à mettre en œuvre des procédures et des protocoles de cybersécurité adéquats et raisonnables", laissant les données personnelles des femmes "entre les mains de cybercriminels qui souhaitent les utiliser à des fins malveillantes".
Trois plaignantes affirment également avoir été contactées directement, menacées par les pirates de publier leurs images en ligne si elles ne payaient pas une rançon.
Dans une lettre adressée à leurs patients, les chirurgiens ont écrit en avril :
Le ou vers le 23 février 2023, Hankins & Sohn a pris connaissance d'une activité suspecte concernant des allégations d'un acteur inconnu selon lesquelles des données auraient été volées sur notre réseau.
Nous avons rapidement pris des mesures pour enquêter sur la validité des allégations et pour évaluer la nature et la portée de l'activité ainsi que les informations susceptibles d'avoir été affectées.
Nous collaborons également avec les forces de l'ordre pour enquêter sur cette activité. Nous avons appris que des fichiers avaient été pris par l'acteur inconnu avant cette date.
Nous avons rapidement pris des mesures pour enquêter sur la validité des allégations et pour évaluer la nature et la portée de l'activité ainsi que les informations susceptibles d'avoir été affectées.
Nous collaborons également avec les forces de l'ordre pour enquêter sur cette activité. Nous avons appris que des fichiers avaient été pris par l'acteur inconnu avant cette date.
Les pirates ont écrit le 17 octobre :
M. Hankins et M. Sohn continuent d'ignorer la situation, nous supposons qu'ils écoutent les avis de certains "experts" et autres "spécialistes".
Il faut tenir compte du fait qu'il s'agit d'un nombre considérable de clients et d'affaires inévitablement gagnables pour les avocats, de sorte qu'ils conseilleront certainement de ne pas entamer de dialogue avec nous.
Il faut tenir compte du fait qu'il s'agit d'un nombre considérable de clients et d'affaires inévitablement gagnables pour les avocats, de sorte qu'ils conseilleront certainement de ne pas entamer de dialogue avec nous.
Leur avocat Gary Schnitzer a déclaré dans un communiqué :
Hankins and Sohn Plastic Surgery est dévasté par la violation de données qui s'est produite aux mains d'acteurs criminels tiers.
Nos patients et notre cabinet souffrent de cette activité criminelle intentionnelle. Nous continuons à travailler avec le FBI et d'autres agences pour protéger les informations des patients et pour traduire ces malfaiteurs en justice.
Nos patients et notre cabinet souffrent de cette activité criminelle intentionnelle. Nous continuons à travailler avec le FBI et d'autres agences pour protéger les informations des patients et pour traduire ces malfaiteurs en justice.
Source : 8 News Now
Et vous ?
Quelle lecture faites-vous de cette situation ?
Selon vous, quelles mesures les organismes de réglementation devraient-ils prendre pour s'assurer que les cabinets médicaux mettent en œuvre des protocoles de cybersécurité solides, afin de prévenir des violations similaires et de protéger la vie privée des patients ?
Voir aussi
45 % des données volées entre juillet 2021 et juin 2022 concerneraient des informations personnelles sur les clients ou les employés, d'après un rapport d'Imperva
Un prestataire de Pôle emploi en charge de la numérisation des documents des demandeurs d'emploi victime d'une cyberattaque, les données personnelles de 10 millions de personnes dérobées
55 % des professionnels de la sécurité informatique citent le vol de données comme leur principale préoccupation, suivi du phishing et des ransomwares, d'après une étude d'Integrity360