Mercy Iowa City ha a notificato ai pazienti il 13 novembre una violazione dei dati verificatasi nella primavera del 2020 dopo che un hacker ha avuto accesso all’account di posta elettronica di un dipendente.
L’ospedale ha rilevato la violazione il 24 giugno, quando l’account mirato ha iniziato a inviare e-mail di phishing e spam. Un’indagine ha rivelato che l’account violato era stato compromesso tra il 15 maggio e il 24 giugno.
Gli esperti di sicurezza intervenuti per esaminare l’incidente hanno confermato a ottobre che i dati sensibili dei pazienti sarebbero potuti essere consultati dall’aggressore.
I dati esposti potrebbero includere nomi, numeri di previdenza sociale, numeri di patente di guida e informazioni sull’assicurazione sanitaria.
Lo studio legale Polsinelli con sede a Chicago, che rappresenta l’ospedale, ha affermato che 60.473 residenti dell’Iowa potrebbero essere stati colpiti dall’incidente di sicurezza.
In una lettera inviata ai residenti dell’Iowa colpiti per conto dell’ospedale, Bruce Radke di Polsinelli ha dichiarato: “Mercy non è a conoscenza di alcuna frode o furto di identità a nessuno a seguito di questo incidente. Tuttavia, perché c’è stata una compromissione dell’account di posta, Mercy ha cercato l’account interessato per determinare se conteneva informazioni personali che potrebbero essere state visualizzate dalla terza parte.
“Mercy ha stabilito che l’account compromesso conteneva alcune informazioni personali, tra cui, a seconda della persona, il loro nome, il numero di previdenza sociale, i numeri della patente di guida, la data di nascita, le informazioni sulle cure mediche e le informazioni sull’assicurazione sanitaria”.
Mercy Iowa City offre un anno di servizi gratuiti di protezione dal furto di identità ai pazienti i cui numeri di patente di guida e numeri di previdenza sociale potrebbero essere stati compromessi.
L’ospedale ha affermato che sta implementando una serie di misure di sicurezza informatica, inclusa l’autenticazione a più fattori, per evitare che si verifichino ulteriori violazioni.
“Abbiamo adottato misure per ridurre il rischio del tipo di incidente che si verifica in futuro, incluso il miglioramento delle nostre misure tecniche di sicurezza”, ha affermato Kelli Hale, responsabile della privacy di Mercy.
Quest’ultima fuoriuscita di dati è la seconda e peggiore violazione che si è verificata a Mercy Iowa City. Nel 2016, l’ospedale ha segnalato una violazione della sicurezza che potrebbe aver esposto le informazioni di 15.625 pazienti.