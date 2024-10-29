Une violation de données chez le prestataire médical virtuel Confidant Health a mis en évidence la grande différence entre les données personnelles d’une part et les données sensibles d’autre part.

L’histoire a commencé lorsque le chercheur en sécurité Jeremiah Fowler a découvert une base de données non sécurisée contenant 5,3 téraoctets de données exposées liées à Confidant Health. L’entreprise propose une aide à la lutte contre la dépendance et des traitements de santé mentale dans le Connecticut, la Floride, le Texas et d’autres États.

La faille, d’abord signalée par WIRED, concernait des données personnelles, telles que les noms et adresses des patients, mais aussi des données sensibles telles que des enregistrements audio et vidéo des séances de thérapie, des notes d’admission psychiatrique détaillées et des antécédents médicaux complets.

L’article montrait à quel point certaines informations étaient terriblement compromettantes : « Un dossier d’admission en psychiatrie de sept pages... détaille les problèmes liés à l’alcool et à d’autres substances, y compris la façon dont le patient prétend avoir pris... des narcotiques provenant de l’hospice de ses grands-parents avant le décès d’un membre de sa famille, selon l’article. Dans un autre document, une mère décrit la relation conflictuelle entre son mari et son fils, notamment le fait que ce dernier, qui consommait des stimulants, a accusé son partenaire d’abus sexuel. »

Le rapport 2024 d’IBM sur le coût d’une violation de données souligne que 46 % des violations concernaient les données personnelles des clients. Le rapport fait également état d’une augmentation significative du coût par enregistrement pour les données de propriété intellectuelle (PI), passant de 156 dollars à 173 dollars.

Mais le niveau d’exposition lié à l’incident de Confidant Health représente une augmentation significative des dommages potentiels pour les personnes touchées, dépassant de loin les risques associés à de simples violations des données personnelles.