Cencora a jusqu'à présent informé plus d'un million de personnes aux États-Unis que leurs informations personnelles et médicales protégées ont été compromises lors d'une violation de données plus tôt cette année, a découvert TechCrunch.
Le géant pharmaceutique a déclaré en mai qu'un incident survenu en février avait compromis les données des patients, que Cencora avait obtenues grâce à des partenariats avec des fabricants de médicaments avec lesquels elle travaille dans le cadre de ses programmes de soutien aux patients. Parmi ces fabricants figurent AbbVie, Bayer, Pfizer et Regeneron.
Cencora, connu sous le nom d'AmerisourceBergen jusqu'en 2023, indique dans son avis de violation de données que les données compromises comprennent les noms des patients, leur adresse postale et leur date de naissance, ainsi que des informations sur leurs diagnostics de santé, leurs médicaments et leurs ordonnances.
Le géant pharmaceutique a jusqu'à présent refusé de décrire les raisons de la violation de données, notamment si l'incident était dû à des pirates informatiques malveillants ou à une faille de sécurité au sein de l'organisation. Cencora a également refusé de confirmer le nombre de personnes qu'elle a informées de la violation de données.
L'analyse de TechCrunch des notifications de violation de données publiées montre que Cencora a informé au moins 1,43 million de personnes que leurs données avaient été compromises lors de l'incident de février.
Notre analyse a consisté à rechercher des avis de violation de données publiés sur les sites Web de plusieurs procureurs généraux des États américains, notamment ceux du Delaware, de l'Iowa, du Massachusetts, du Montana, du New Hampshire, du Texas et de Washington. Ces États exigent que les entreprises touchées par une violation de données divulguent publiquement le nombre précis de résidents de leur État à avertir. (La plupart des avis de violation de données sont déposés au nom de chaque société pharmaceutique concernée individuellement ou par l'intermédiaire de la société mère de Cencora, Lash Group.) Le Texas comptait le plus grand nombre de personnes informées de la violation de Cencora, soit 1,05 million de personnes au moment de la rédaction de cet article.
Cencora a soumis son avis de violation de données le plus récent aux personnes concernées à la mi-juillet, suggérant que le géant pharmaceutique alerte toujours ceux dont les données ont été volées.
Le nombre de personnes concernées par la violation de données est probablement bien plus élevé. Cencora a reconnu dans son propre avis de violation de données qu'elle ne pouvait pas informer toutes les personnes concernées car elle ne dispose pas d'adresses à jour pour envoyer des avis.
Cencora a déclaré plus tôt cette année avoir servi au moins 18 millions de patients à ce jour.
Contacté par courrier électronique vendredi, le porte-parole de Cencora, Mike Iorfino, n'a pas contesté le nombre de personnes notifiées jusqu'à présent, mais a refusé de fournir un chiffre plus précis ou de commenter la question.
Avec 1,42 million de personnes touchées, cette violation de données se classe déjà comme l'une des plus grandes compromissions d'informations liées à la santé en 2024 à ce jour, selon une liste de violations de données publiée par le ministère américain de la Santé et des Services sociaux (HHS).
Selon le décompte courant du HHS pour la seule année 2024, le géant de l'assurance maladie Kaiser a informé plus de 13,4 millions de personnes après avoir partagé par inadvertance les informations personnelles et de santé des patients avec des annonceurs ; la société de gestion des ordonnances Sav-Rx a informé 2,8 millions de personnes que leurs informations de santé avaient été volées lors d'une cyberattaque antérieure ; et l'administrateur des prestations de santé WebTPA a informé 2,5 millions de personnes que des cybercriminels avaient volé leurs informations d'assurance et leurs numéros de sécurité sociale.
Bien que le nombre de personnes touchées n'ait pas encore été révélé, l'attaque par ransomware de février contre la filiale de technologie de santé d'UnitedHealth, Change Healthcare, constitue probablement l'une des plus grandes violations de données liées à la santé de l'histoire des États-Unis, affectant une « proportion substantielle de personnes en Amérique » – probablement au moins 100 millions de résidents américains.
Cencora, pour sa part, a déclaré que sa violation de données n'avait « aucun lien » avec l'attaque par ransomware et la violation de données chez Change Healthcare.