Ascension Health telah mulai memberi tahu individu tentang pelanggaran data lain yang mengekspos informasi pribadi (PII) dan catatan kesehatan yang sensitif. Pemberitahuan dikirim ke pasien mulai 30 April 2025 – hampir enam bulan setelah Ascension menemukan pelanggaran pada 5 Desember 2024.
Investigasi resmi berakhir pada 21 Januari 2025. Ini mengungkapkan bahwa Ascension secara tidak sengaja mengungkapkan data kepada mantan mitra bisnis, dan beberapa informasi itu kemungkinan dicuri karena kerentanan dalam perangkat lunak pihak ketiga yang digunakan oleh mitra itu.
Ascension mengkonfirmasi bahwa data yang dicuri termasuk informasi pribadi yang sensitif, seperti:
- Nama
- Alamat
- Nomor telepon
- Tanggal lahir
- Balapan
- Jenis kelamin
- Nomor Jaminan Sosial (SSN)
Selain itu, data yang dicuri termasuk informasi klinis, seperti lokasi layanan, tanggal masuk dan debit, diagnosis, nomor rekam medis, asuransi, dan kode penagihan.
“Yang penting, insiden ini tidak melibatkan sistem kenaikan, jaringan, atau catatan kesehatan elektronik,” Ascension mengklarifikasi dalam pernyataan resminya. Fasilitas dan pasien yang berdampak pada pelanggaran di Alabama, Michigan, Indiana, Tennessee, dan Texas. Perusahaan juga melaporkan insiden itu ke kantor jaksa agung Massachusetts.
Ascension adalah salah satu sistem perawatan kesehatan swasta terbesar di AS. Nirlaba Katolik beroperasi di 19 negara bagian dan mempekerjakan lebih dari 142.000 orang di 142 rumah sakit dan 40 fasilitas hidup senior.
Meskipun ruang lingkup penuh kebocoran masih belum jelas, Ascension menawarkan individu yang terkena dampak dua tahun layanan pemantauan identitas gratis. Ini juga mendorong pasien untuk memeriksa laporan kredit mereka dan menempatkan peringatan penipuan sebagai tindakan pencegahan.
Kejadian ini datang kurang dari setahun setelah pelanggaran data bencana yang mengekspos catatan lebih dari 5,6 juta pasien, seperti yang dilaporkan oleh HIPAA.
Sayangnya, insiden seperti ini menjadi semakin umum di antara penyedia layanan kesehatan yang menggunakan vendor pihak ketiga. Kami baru-baru ini melaporkan paparan 8 juta PII Pekerja Kesehatan oleh perusahaan perangkat lunak yang berbasis di Inggris. Peneliti cybersecurity Jeremiah Fowler juga menemukan database yang tidak dilindungi yang berisi lebih dari 4,8 juta catatan yang terkait dengan Care1.